MSF İçinde Port Tarama

MSF İçinde Port Tarama

Bu yazımızda, Metasploit içerisinde sağlanan Port tarama modüllerine kısaca bakacağız. Nmap ve diğer port tarama seçeneklerinin yanında, Metasploit tarafından sağlanan Port tarama modüllerinin, kullanıcıya ne gibi esneklikler sağladığını göreceğiz.

Metasploit İçinde Port Tarama

Tarayıcılar ve hemen hemen tüm auxiliary modülleri RHOST yerine RHOSTS değişkenini kullanırlar. RHOSTS değişkeni farklı formatlarda girilebilen IP aralıkları alabilir.

  • IP Aralıkları (192.168.1.20-192.168.1.30)
  • CIDR Gösterimi (192.168.1.0/24),
  • Çoklu format (192.168.1.0/24, 192.168.3.0/24),
  • Bis dosyadan IP adresleri (file:/tmp/hostlist.txt).Her satırda 1 IP olmalı

THREADS

Metasploit içerisinde kullanılan tarama modüllerinin içinde THREADS isimli bir değişken bulunur. Bu değişken, tarama esnasında kaç kanaldan denemenin çalıştırılacağını belirlememizi sağlar. THREADS değişkeni varsayılan olarak 1 değerine ayarlıdır. Bu değeri arttırdığınızda tarama hızlanır. Taramanın hızlanması, işlerin çabuklaşması için faydalı olsa da bir takım kısıtlamaları bulunmaktadır. Aşağıdaki listede THREADS değişkeni ile ilgili tavsiyeleri dikkate almalısınız.

  • MSF programı Win32 sistemlerde çalışıyorsaTHREADSdeğerini 16 ve altında ayarlayın.
  • MSF programı Cygwin sistemde çalışıyorsaTHREADSdeğerini 200 ve altında ayarlayın
  • MSF programı Unix-like sistemde çalışıyorsaTHREADSdeğerini 256 yapabilirsiniz.

Nmap & db_nmap

Metasploit içerisinde bildiğiniz klasik nmap komutunu kullanabileceğiniz gibi db_nmap komutunu da kullanabilirsiniz. db_nmap komutunu kullandığınızda bulunan sonuçlar otomatik olarak hosts tablolarına aktarılır. nmap ile tarama yaptığınızda, sonuçları -oA parametresiyle sonradan kullanmak için (xml, grepable ve normal) formatlarda bir dosyaya kaydederseniz, o dosyayı Metasplot içerisine db_import komutuyla alabilirsiniz.

Aşağıda, nmap komutunun kullanımına bir örnek görebilirsiniz. İşletim sisteminin komut satırından nmap komutunu kullanabileceğiniz gibi msf > komut satırından da nmap kullanılabilir. Örnekteki nmap komutu, sonuçları subnet_1 isimli dosyalara kaydedecektir. Bu dosyaları isterseniz Metasploit’ed aktarabilirsiniz. Bunun yerine db_nmap -v -sV 192.168.1.0/24 komutunu verirseniz, sonuçlar otomatik olarak hosts tablosuna kayıt edilir.

msf ***>***  nmap -v -sV 192.168.1.0/24 -oA subnet_1
***[*** ******* ***]***  exec: nmap -v -sV 192.168.1.0/24 -oA subnet_1

Starting Nmap 5.00 ***(***  http://nmap.org ***)***  at 2009-08-13 19:29 MDT
NSE: Loaded 3 scripts ***for *** scanning.
Initiating ARP Ping Scan at 19:29
Scanning 101 hosts ***[*** 1 port/host]
...
Nmap ***done*** : 256 IP addresses ***(*** 16 hosts up***)***  scanned ***in *** 499.41 seconds
Raw packets sent: 19973 ***(*** 877.822KB***)***  | Rcvd: 15125 ***(*** 609.512KB***)*** 

Port Tarama

Port tarama için sadece nmap veya db_nmap kullanmak zorunda değilsiniz. Metasploit içerisinde başka bir takım Port tarama modülleri de bulunmaktadır. Bunları search portscan komutuyla listeletebilirsiniz.

msf ***>***  search portscan

Matching Modules
***================*** 

   Name                                      Disclosure Date  Rank    Description
   ----                                      ---------------  ----    -----------
   auxiliary/scanner/natpmp/natpmp_portscan                   normal  NAT-PMP External Port Scanner
   auxiliary/scanner/portscan/ack                             normal  TCP ACK Firewall Scanner
   auxiliary/scanner/portscan/ftpbounce                       normal  FTP Bounce Port Scanner
   auxiliary/scanner/portscan/syn                             normal  TCP SYN Port Scanner
   auxiliary/scanner/portscan/tcp                             normal  TCP Port Scanner
   auxiliary/scanner/portscan/xmas                            normal  TCP "XMas" Port Scanner

Şimdi nmap ile yapılmış bir tarama ve Metasploit içinde auxiliary/scanner/portscan/syn tarama modülü ile yapılmış tarama sonuçlarını karşılaştıralım.

nmap SYN Tarama sonuçları
msf ***>***  cat subnet_1.gnmap | grep 80/open | awk '{print $2}'
***[*** ******* ***]***  exec: cat subnet_1.gnmap | grep 80/open | awk '{print $2}'

192.168.1.1
192.168.1.2
192.168.1.10
192.168.1.109
192.168.1.116
192.168.1.150

Metasploit SYN Modülü Tarama ve Sonuçları
msf ***>***  use auxiliary/scanner/portscan/syn
msf auxiliary***(*** syn***)***  ***>***  show options

Module options ***(*** auxiliary/scanner/portscan/syn***)*** :

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   BATCHSIZE  256              yes       The number of hosts to scan per set
   DELAY      0                yes       The delay between connections, per thread, ***in *** milliseconds
   INTERFACE                   no        The name of the interface
   JITTER     0                yes       The delay jitter factor ***(*** maximum value by which to +/- DELAY***)***  ***in *** milliseconds.
   PORTS      1-10000          yes       Ports to scan ***(*** e.g. 22-25,80,110-900***)*** 
   RHOSTS                      yes       The target address range or CIDR identifier
   SNAPLEN    65535            yes       The number of bytes to capture
   THREADS    1                yes       The number of concurrent THREADS
   TIMEOUT    500              yes       The reply read timeout ***in *** milliseconds

msf auxiliary***(*** syn***)***  ***>***  set INTERFACE eth0
INTERFACE ***=>***  eth0
msf auxiliary***(*** syn***)***  ***>***  set PORTS 80
PORTS ***=>***  80
msf auxiliary***(*** syn***)***  ***>***  set RHOSTS 192.168.1.0/24
RHOSTS ***=>***  192.168.1.0/24
msf auxiliary***(*** syn***)***  ***>***  set THREADS 50
THREADS ***=>***  50
msf auxiliary***(*** syn***)***  ***>***  run

***[*** ******* ***]***  TCP OPEN 192.168.1.1:80
***[*** ******* ***]***  TCP OPEN 192.168.1.2:80
***[*** ******* ***]***  TCP OPEN 192.168.1.10:80
***[*** ******* ***]***  TCP OPEN 192.168.1.109:80
***[*** ******* ***]***  TCP OPEN 192.168.1.116:80
***[*** ******* ***]***  TCP OPEN 192.168.1.150:80
***[*** ******* ***]***  Scanned 256 of 256 hosts ***(*** 100% complete***)*** 
***[*** ******* ***]***  Auxiliary module execution completed

Metasploit auxiliary/scanner/portscan/syn modülü ile yukarıda yaptığımız taramanın hosts tablosuna kaydedildiğini biliyoruz. Şimdi bu sonuçları kullanarak TCP taraması yapalım. Aktif olan bir modülün ihtiyacı olan IP bilgileri RHOSTS değişkenine, hosts tablosundan hosts -R komutuyla aktarıldığını hatırlayın.

msf ***>***  use auxiliary/scanner/portscan/tcp
msf  auxiliary***(*** tcp***)***  ***>***  show options

Module options ***(*** auxiliary/scanner/portscan/tcp***)*** :

   Name         Current Setting  Required  Description
   ----         ---------------  --------  -----------
   CONCURRENCY  10               yes       The number of concurrent ports to check per host
   DELAY        0                yes       The delay between connections, per thread, ***in *** milliseconds
   JITTER       0                yes       The delay jitter factor ***(*** maximum value by which to +/- DELAY***)***  ***in *** milliseconds.
   PORTS        1-10000          yes       Ports to scan ***(*** e.g. 22-25,80,110-900***)*** 
   RHOSTS                        yes       The target address range or CIDR identifier
   THREADS      1                yes       The number of concurrent THREADS
   TIMEOUT      1000             yes       The socket connect timeout ***in *** milliseconds

msf  auxiliary***(*** tcp***)***  ***>***  hosts -R

Hosts
***=====*** 

address         mac                name  os_name  os_flavor  os_sp  purpose  info  comments
-------         ---                ----  -------  ---------  -----  -------  ----  --------
172.16.194.172  00:0C:29:D1:62:80        Linux    Ubuntu            server         

RHOSTS ***=>***  172.16.194.172

msf  auxiliary***(*** tcp***)***  ***>***  show options

Module options ***(*** auxiliary/scanner/portscan/tcp***)*** :

   Name         Current Setting  Required  Description
   ----         ---------------  --------  -----------
   CONCURRENCY  10               yes       The number of concurrent ports to check per host
   FILTER                        no        The filter string ***for *** capturing traffic
   INTERFACE                     no        The name of the interface
   PCAPFILE                      no        The name of the PCAP capture file to process
   PORTS        1-1024           yes       Ports to scan ***(*** e.g. 22-25,80,110-900***)*** 
   RHOSTS       172.16.194.172   yes       The target address range or CIDR identifier
   SNAPLEN      65535            yes       The number of bytes to capture
   THREADS      10                yes       The number of concurrent THREADS
   TIMEOUT      1000             yes       The socket connect timeout ***in *** milliseconds

msf  auxiliary***(*** tcp***)***  ***>***  run

***[*** ******* ***]***  172.16.194.172:25 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:23 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:22 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:21 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:53 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:80 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:111 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:139 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:445 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:514 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:513 - TCP OPEN
***[*** ******* ***]***  172.16.194.172:512 - TCP OPEN
***[*** ******* ***]***  Scanned 1 of 1 hosts ***(*** 100% complete***)*** 
***[*** ******* ***]***  Auxiliary module execution completed
msf  auxiliary***(*** tcp***)***  ***>***  

İşletim sisteminde nmap yüklü olmayan bilgisayarlar için, Metasploit tarama modülleri büyük kolaylık sağlar.

SMB Versiyon Taraması

Yaptığımız SYN ve TCP taramalarında bir kısım IP adreslerinin açık olduğunu ve 445 numaralı Portların aktif olduğunu gördüğümüzü farz edelim. Bu durumda Windows için smb ve Linux için samba olarak ifade edilen taramayı kullanabiliriz.

msf ***>***  use auxiliary/scanner/smb/smb_version
msf auxiliary***(*** smb_version***)***  ***>***  set RHOSTS 192.168.1.200-210
RHOSTS ***=>***  192.168.1.200-210
msf auxiliary***(*** smb_version***)***  ***>***  set THREADS 11
THREADS ***=>***  11
msf auxiliary***(*** smb_version***)***  ***>***  run

***[*** ******* ***]***  192.168.1.209:445 is running Windows 2003 R2 Service Pack 2 ***(*** language: Unknown***)***  ***(*** name:XEN-2K3-FUZZ***)***  ***(*** domain:WORKGROUP***)*** 
***[*** ******* ***]***  192.168.1.201:445 is running Windows XP Service Pack 3 ***(*** language: English***)***  ***(*** name:V-XP-EXPLOIT***)***  ***(*** domain:WORKGROUP***)*** 
***[*** ******* ***]***  192.168.1.202:445 is running Windows XP Service Pack 3 ***(*** language: English***)***  ***(*** name:V-XP-DEBUG***)***  ***(*** domain:WORKGROUP***)*** 
***[*** ******* ***]***  Scanned 04 of 11 hosts ***(*** 036% complete***)*** 
***[*** ******* ***]***  Scanned 09 of 11 hosts ***(*** 081% complete***)*** 
***[*** ******* ***]***  Scanned 11 of 11 hosts ***(*** 100% complete***)*** 
***[*** ******* ***]***  Auxiliary module execution completed

Şimdi tekrar hosts komutunu verirseniz, en son yapılan smb tarama sonuçlarının da tabloya ilave edildiğini görebilirsiniz.

msf auxiliary***(*** smb_version***)***  ***>***  hosts

Hosts
***=====*** 

address        mac  name  os_name            os_flavor  os_sp  purpose  info  comments
-------        ---  ----  -------            ---------  -----  -------  ----  --------
192.168.1.201             Microsoft Windows  XP         SP3    client         
192.168.1.202             Microsoft Windows  XP         SP3    client         
192.168.1.209             Microsoft Windows  2003 R2    SP2    server

Idle Tarama

Nmap tarafından kullanıcıya sağlanan tarama türlerinden bir tanesi de Idle taramadır. Bir ağda, boşta bulunan bir bilgisayar bulunur ve onun IP numarası üzerinden ağda bulunan diğer IP adresleri taranır. Öncelikle Idle tarama için kullanılacak bir IP adresi bulmalıyız. Bunu bulmak için auxiliary/scanner/ip/ipidseq modülünü kullanalım.

msf ***>***  use auxiliary/scanner/ip/ipidseq
msf auxiliary***(*** ipidseq***)***  ***>***  show options

Module options ***(*** auxiliary/scanner/ip/ipidseq***)*** :

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   INTERFACE                   no        The name of the interface
   RHOSTS                      yes       The target address range or CIDR identifier
   RPORT      80               yes       The target port
   SNAPLEN    65535            yes       The number of bytes to capture
   THREADS    1                yes       The number of concurrent THREADS
   TIMEOUT    500              yes       The reply read timeout ***in *** milliseconds

msf auxiliary***(*** ipidseq***)***  ***>***  set RHOSTS 192.168.1.0/24
RHOSTS ***=>***  192.168.1.0/24
msf auxiliary***(*** ipidseq***)***  ***>***  set THREADS 50
THREADS ***=>***  50
msf auxiliary***(*** ipidseq***)***  ***>***  run

***[*** ******* ***]***  192.168.1.1's IPID sequence class: All zeros
[*] 192.168.1.2's IPID sequence class: Incremental!
***[*** ******* ***]***  192.168.1.10's IPID sequence class: Incremental!
[*] 192.168.1.104's IPID sequence class: Randomized
***[*** ******* ***]***  192.168.1.109's IPID sequence class: Incremental!
[*] 192.168.1.111's IPID sequence class: Incremental!
***[*** ******* ***]***  192.168.1.114's IPID sequence class: Incremental!
[*] 192.168.1.116's IPID sequence class: All zeros
***[*** ******* ***]***  192.168.1.124's IPID sequence class: Incremental!
[*] 192.168.1.123's IPID sequence class: Incremental!
***[*** ******* ***]***  192.168.1.137's IPID sequence class: All zeros
[*] 192.168.1.150's IPID sequence class: All zeros
***[*** ******* ***]***  192.168.1.151's IPID sequence class: Incremental!
[*] Auxiliary module execution completed

Çıktıda görülen IP adresleri Idle Tarama için kullanılabilir. aşağıdaki örnekte, 192.168.1.109 IP adresi zombie olarak kullanılmıştır ve onun üzerinden sistemdeki başka bir IP (192.168.1.114) adresine Port taraması gerçekleştirilmiştir.

msf auxiliary***(*** ipidseq***)***  ***>***  nmap -PN -sI 192.168.1.109 192.168.1.114
***[*** ******* ***]***  exec: nmap -PN -sI 192.168.1.109 192.168.1.114

Starting Nmap 5.00 ***(***  http://nmap.org ***)***  at 2009-08-14 05:51 MDT
Idle scan using zombie 192.168.1.109 ***(*** 192.168.1.109:80***)*** ; Class: Incremental
Interesting ports on 192.168.1.114:
Not shown: 996 closed|filtered ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-term-serv
MAC Address: 00:0C:29:41:F2:E8 ***(*** VMware***)*** 

Nmap ***done*** : 1 IP address ***(*** 1 host up***)***  scanned ***in *** 5.56 seconds

Bu tarama sonucunda bulunan açık portlar ve servisler çıktıda görülebilir. Aynı işlemi, db_nmap komutuyla da yapabilirsiniz.

Last updated on