/ Linux/Unix / Comment[0]
こういうAPがあったからちょっと覗いてみた

一方はWPA2でガチガチに固められてるけど、もう一方のESSIDはオープンになっている

接続

$ ifconfig wlan0
DHCPにより192.168.1.3が割り当てられた

$ nmap -sP 192.168.1.0/24
以下の3つのホストが判明
192.168.1.1
192.168.1.31
192.168.1.254

# nmap -sS -O 192.168.1.1,192.168.1.31,192.168.1.254

192.168.1.1(NEC) 53,80open
192.168.1.31(Sony) all close
192.168.1.254(FON) 23,53,80,1723open Linux

$ curl -I 192.168.1.1
使用ルータ
mcas/3.0 (PR200NE Ver 8.25; B2BUA; NTTEAST)


ウェブブラウザで192.168.1.254にアクセスしてみると

ddwrtとは、無線LANの機能を拡張させるという無線LAN用Linuxディストリビューション。
こんなモノがインストールされているということは素人ではないな
ステータスは認証無しで見れるが、タブをどれかクリックすると認証を求められる。ddwrtの初期ID,Passであるroot adminをいれてみたけどはじかれた。


nmapの-sPオプションではICMPに応答しないホスト(windowsとかwindowsとか)を探知することは出来ない。
フルスキャンしたいところだが、時間が無いので、Windowsがデフォルトで開いているであろう137-139ポートとなんとなく80ポートを192.168.1.0/24全てのホストに対してコネクトスキャンしてWindowsホストの列挙を試みる。
コネクトスキャンは、ファイアウォールにブロックされたり、ログに残ってしまう確率は高いが、確実なスキャン方法。多分、片方WPA2で片方OPNにしているような人にログを見る習慣なんて無いでしょう。

# nmap -PN -O -p137-139,80 192.168.1.0/24

新たに見つかったホスト
192.168.1.100(Microsoft) windows vista系
192.168.1.101(ASRock)windows vista系、7寄り

各ホストをフルスキャン
# nmap -PN -p1- 192.168.1.100-101
(見やすくするために色を変えてみた)
コネクトスキャンを許してしまうということは、ファイアウォールの設定が甘いか、無効になっている可能性が高い。


smtpのシステムコマンドrcpt toを利用してユーザ列挙を試みる
次の画像では手動だけど、smtpユーザ列挙の際には、次のような簡単なスクリプトを書いておくと便利。
nc -i3 $1 25 <<EOF
HELO world
MAIL FROM:<odn-admin@odn.ad.jp>
RCPT TO:root
RCPT TO:server
RCPT TO:system
RCPT TO:www
RCPT TO:ftp
RCPT TO:owner
QUIT
EOF
#コマンド実行回数が制限されていることもあるので一旦区切る
nc -i3 $1 25 <<EOF
HELO world2
MAIL FROM:<odn-admin@odn.ad.jp>
RCPT TO:administrator
RCPT TO:admin
RCPT TO:user
RCPT TO:mail
RCPT TO:account
RCPT TO:pilon
QUIT
EOF

# nc 192.168.1.100 25

root,owner,administratorなど在り来りなアカウントを試してみたけど、どれもヒットしなかった。


192.168.1.100-101に対してNetBIOS問い合わせをする
# nmblookup -A 192.168.1.100
# nmblookup -A 192.168.1.101
(SS撮り忘れた)
192.168.1.100 NAME: 0-PILON-SERVER GROUP: PILON_NET MACAddress: arpのMACアドレスと一致
192.168.1.101 NAME: PILON-SERVER GROUP: PILON_NET MACAddress: arpのMACアドレスと一致

arpのMACアドレスとNetBIOSのMACアドレスが一致するというのは、途中にルータ,イーサネットコンバータ,ハブなどのネットワーク機器を介すことなく直接繋がっていることを意味する。


Samba共有リソースの列挙を試みる
# smbclient -NL 192.168.1.100
# smbclient -NL 192.168.1.101

共有リソースの列挙は出来なかったが、OSの正確なバージョンを入手できた。


確認くんにアクセスしてグローバルIPアドレスを取得
http://www.ugtop.com/spill.shtml
プロバイダは某おでんだった

グローバル越しにスキャンしてルータが開放しているポートを調べる
$ nmap -PN -p1- 210.*.*.*

開放しているポートは
21,110,587,990,1723,3389,9999,13389,61723

http://www.atmarkit.co.jp/fwin2k/win2ktips/341termport/termport.htmlこのページによると、

元のポート番号から類推しやすいものではあまり意味がないので(例えば3389番を13389番や23389番にするなど)、なるべく異なるポート番号にするのが望ましいだろう。

とある。人間はアナログのように見えても、実は無作為に選ぶことが難しかったりする。参考にしたサイトの設定をそのまま利用することって結構あるよね
多分、13389はリモートデスクトップなのかもしれない
どのホストに対応するポートかは分からないけど

ncによるバナー表示


以上の情報をまとめてネットワークマップを描いた
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可