nMap -Network Mapping-

L’ nMap , è lo scanning forse più famoso , (a merito) , della rete.

Iniziamo con una intro generale e di definizione.

L’ nMap , ovvero “network Mapping” , è un prodotto del lavoro del gruppo di Insecure.org , che ha attraversato molti livelli , (intesi come versioni , attualmente alla 4.50) , ed è sempre stato giustamente considerato tra i migliori portscanner in circolazione.

L’ nMap è disponibile in vari formati , dall’ utilizzo tramite riga di comando , (più raccomandato ed utilizzato ovviamente) , in konsole , fino ad arrivare all’ interfccia grafica. È disponibile per tutte le distro GNU/Linux fino ad arrivare a MacHintosh e M$ Windows. Noi quì ovviamente faremo riferimento alle versioni attualmente in uso in BackTrack.

In BackTrack infatti l’ nMap è disponibile tramite konsole , dove basta digitare il comando nmap seguito dalle opzioni e dall’ indirizzo IP del target , e tramite interfaccia grafica , disponibile in KdeMenuStart–>BackTrack–>NetworkMapping–>All–>nMapFE

L’ nMap è uno scanner potentissimo , ed a renderlo tale è la sua affidabilità , la sua versatilità e la grande quantità di opzioni a disposizione , che mettono l’utente in condizioni tali da avere a disposizione uno strumento potente , all’ avanguardia e leggerissimo.

A testimonia della leggerezza e affidabilità dell’ nMap è già il fatto che lo stesso è inserito , proprio perché leggero , all’interno di altri programmi che necessitano di scanning , come ad esempio il Metasploit Framework.

Se si vuole una documentazione dettagliata sull’ nMap , vi basta digitare da konsole il comando:

nmap -h

in questo modo vi verranno elencate tutte le opzioni di cui l’ nMap gode.

Giusto per fare un esempio , passiamo ora ad una descrizione di uso dell’ nMap.

Lo scanning di rete può essere fatto in vari modi , a seconda delle nostre necessità effettueremo o meno determinate operazioni , elencare tutte le opzioni dell’ nMap sarebbe inutile , (chi vuole da konsole digiti: “nmap -h”) , siamo in BackTrack , e di conseguenza esamineremo l’utilizzo dell’ nMap durante una fase di attacco , e cioé:

come ottenere determinate informazioni utili al nostro attacco.

Gli attacchi che possiamo prendere come esempio sono molteplici , dal voler entrare abusivamente all’ interno di un server al voler violare la privacy di un normale utente , ricordando ovviamente che questo è come sempre un tutorial di prevenzione contro coloro che queste cose le fanno , e che quindi stiamo trattando un argomento che và preso come sempre per penetration test , (e non per lamer-test).

I siti che si trovano in giro per la rete sono sempre diversi tra loro , e per poterne attaccare uno , abbiamo bisogno di venire in nostro possesso di informazioni che possono permetterci di attaccare il sito in questione. La cosa che per prima ci serve è sapere ad esempio quali porte il sito ha aperte , oppure che tipo di O.S. usa , ed è quì che ci serviremo dell’ nMap.

Analizziamo però le opzioni necessarie al nostro scopo:

da konsole , dopo il comando nmap dobbiamo inserire delle opzioni , dopo o a seconda del caso , prima delle stesse opzioni , va inserito l’ IP dell’ host da esaminare/attacare , e possiamo farlo inserendo solo l’ IP del target oppure inserendo il percorso del file *.txt , di nome hosts.txt posizionato nel nostro Desktop e che contiene una serie di host da scannerizzare , inseriti nel file di testo uno sotto l’ altro come una wordlist e inserita nella konsole dopo l’ opzione -iL , come ad esempio nel seguente comando:

nmap -iL /root/Desktop/hosts.txt

il comando e le opzioni descritte con la riga sopra , diono all’ nMap di eseguire una normale scansione di tutti gli host contenuti nel file di nome host.txt , file che ripeto , è posizionato nel nostro Desktop.

Ed è solo la descrizione dello scanning ottenuto con l’ opzione -iL ,(alla lettera inputList), che fa parte di quelle opzioni del TARGET SPECIFICATION , ossia tutte quelle opzioni che servono all’ nMap per gestire i target , gli indirizzi IP da scannerizzare e le loro specifiche. Eccovi un esempio , (eseguito in locale sulla mia LAN):

***

brigante ~HaCkLaB.WiFu # nmap -iL /root/Desktop/hosts.txt

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 15:40 GMT
Interesting ports on XX.XXX.X.XX:
Not shown: 1704 closed ports
PORT STATE SERVICE
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
902/tcp open iss-realsecure-sensor
2049/tcp open nfs
5900/tcp open vnc
MAC Address: 00:02:72:61:7B:52 (CC&C Technologies)

All 1711 scanned ports on XX.XXX.7.XXare closed

Interesting ports on XX.XXX.XX.XXX:
Not shown: 1708 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:19:3E:A0:D8:25 (Pirelli Broadband Solutions)

Interesting ports on 29.XXX.7.XX:
Not shown: 1709 closed ports
PORT STATE SERVICE
23/tcp open telnet
646/tcp open unknown
MAC Address: 00:90:1A:42:19:10 (Unisphere Solutions)

Nmap done: 4 IP addresses (4 hosts up) scanned in 10.486 seconds

***

L’nMap , in questo caso , ci elenca tutte le scansioni una dopo l’ altra , e nella mia Lan essendoci connessi 4 macchine , ecco il risultato.

Come per la serie di opzioni che riguardano l’ host detection ci sono altre che riguardano il PORT DETECTION , che ovviamente possono ritornarci utili nel momento in cui siamo già a conoscenza di determinate informazioni.

Un’ opzione può essere ad esempio -r , ovvero la – randomize ,(in questo caso il trattino “-” sta a significare il segno meno , della sottrazione), che farà in modo che l’ nMap esegua una scansione di porte in modo ricorsivo , una porta dopo l’altra in ordine numerico. Oppure è degna di nota anche l’ opzione -p , che permette all’ nMap di eseguire una scansione di determinate porte , senza andare quindi a scannerizzare porte a noi non necessarie , ma ripeto che sono sempre informazioni che la maggiorparte delle volte viene usata perché si è già a conoscenza di informazioni di scanning già effettuati e poi in tutti i casi l’ nMap è sempre stato molto veloce come scanning , e a meno che non si debbano scavlcare firewall e altre cosette , sono opzioni poco usate.

Una semplice e veloce scansione può essere però effettuata anche senza apporre delle opzioni , scrivendo quindi dopo il comando nmap l’ IP target , come nel seguente esempio , (sempre in locale sulla mia LAN):

***

brigante ~HaCkLaB.WiFu # nmap 29.XXX.6.XX

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 15:27 GMT
Interesting ports on XX.XXX.7.XX:
Not shown: 1708 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:X9:XX:A0XX:25 (Pirelli Broadband Solutions)

***

L’ nMap agisce tramite delle vere e proprie tecniche di scanning ,(SCAN TECHNIQUES), tecniche che possiamo scegliere tramite altre opzioni da apporre alla riga sempre prima dell’ indirizzo IP del nostro target , prima perché appunto descrivono la tecnica da applicare alla scansione del target. Un esempio possiamo farlo con l’ opzione -sS.

L’opzione -sS , è tra le più usate , per il semplice fatto che in pochi secondi fa eseguire all’ nMap una scansione accurata di migliaia di porte , anche su più network.

Una serie di opzioni che caratterizza l’ nMap , e che è a mio avviso decisiva per il pentesting è la serie di opzioni dedicate all’ OS DETECTION , ovvero la scoperta dei sistemi operativi che sono attualmente in uso su di un determinato server , e capirete bene voi se è o no essenziale per un attacco.

La stessa scansione che ho effettuato sulla mia rete Lan prima , la ripeto ora con l’opzione appena descritta per l’ OS detection , quindi:

***

brigante ~HaCkLaB.WiFu # nmap -O 29.XXX.6.XX

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 21:18 GMT
Interesting ports on 29.XXX.6.XX:
Not shown: 1709 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
MAC Address: 00:02:72:61:7B:52 (CC&C Technologies)
Device type: general purpose
Running: Microsoft Windows XP|2003
OS details: Microsoft Windows XP SP2 or Windows Server 2003 SP0/SP1
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.477 seconds

brigante ~HaCkLaB.WiFu # nmap -v 29.XXX.6.XX
Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-10 21:40 GMT
Initiating ARP Ping Scan at 21:40
Scanning 29.XXX.6.XX [1 port]
Completed ARP Ping Scan at 21:40, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 21:40
Completed Parallel DNS resolution of 1 host. at 21:40, 0.15s elapsed
Initiating SYN Stealth Scan at 21:40
Scanning 29.XXX.6.XX [1711 ports]
Discovered open port 135/tcp on 29.XXX.6.XX
Discovered open port 139/tcp on 29.XXX.6.XX
Completed SYN Stealth Scan at 21:40, 4.53s elapsed (1711 total ports)
Host 29.XXX.6.XX appears to be up … good.
Interesting ports on 29.XXX.6.XX:
Not shown: 1709 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
MAC Address: 00:02:72:61:7B:52 (CC&C Technologies)Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 4.864 seconds
Raw packets sent: 1724 (75.854KB) | Rcvd: 1716 (68.650KB)

***

Ora la grande quantità di informazioni ottenute , non è data dalla maggiore o più approfondita scansione , ma solo dal fatto che l’ nMap ci ha restituito il risultato dello scanning in maniera Live , e cioé ci h restituito un risultato appena lo ha trovato , in modalità verbose.

La modalità verbose , proprio come le altre , può essere aggiunta tutte le volte che noi la richiediamo , un esempio può essere il seguente dove la uso assuieme all’ opzione -sV , che mi restituirà lo scanning delle porte TCP e , qualora ce ne fossero aperte , lo farà associando ad ogni porta il software per il quale la porta è in uso e la versione dello stesso…

***

brigante ~HaCkLaB.WiFu # nmap -v -sV 29.XXX.6.XX

Starting Nmap 4.50 ( http://insecure.org ) at 2008-02-13 22:18 GMT
Initiating ARP Ping Scan at 22:18
Scanning 29.XXX.6.XX [1 port]
Completed ARP Ping Scan at 22:18, 0.05s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:18
Completed Parallel DNS resolution of 1 host. at 22:18, 0.09s elapsed
Initiating SYN Stealth Scan at 22:18
Scanning 29.230.6.73 [1711 ports]
Discovered open port 902/tcp on 29.XXX.6.XX
Discovered open port 2049/tcp on 29.XXX.6.XX
Discovered open port 445/tcp on 29.XXX.6.XX
Discovered open port 631/tcp on 29.XXX.6.XX
Discovered open port 139/tcp on 29.XXX.6.XX
Discovered open port 4662/tcp on 29.XXX.6.XX
Discovered open port 111/tcp on 29.XXX.6.XX
Discovered open port 5900/tcp on 29.XXX.6.XX
Completed SYN Stealth Scan at 22:18, 2.21s elapsed (1711 total ports)
Initiating Service scan at 22:18
Scanning 8 services on 29.XXX.6.XX
Completed Service scan at 22:19, 56.52s elapsed (8 services on 1 host)
Initiating RPCGrind Scan against 29.XXX.6.XX at 22:19
Completed RPCGrind Scan against 29.XXX.6.XX at 22:19, 0.02s elapsed (2 ports)
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 22:19
Completed SCRIPT ENGINE at 22:19, 0.43s elapsed
Host 29.XXX.6.XX appears to be up … good.
Interesting ports on 29.XXX.6.XX
Not shown: 1703 closed ports
PORT STATE SERVICE VERSION
111/tcp open rpcbind 2 (rpc #100000)
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: HACKLAB-WG)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: HACKLAB-WG)
631/tcp open ipp CUPS 1.2
902/tcp open ssl/vmware-auth VMware GSX Authentication Daemon 1.10 (Uses VNC)
2049/tcp open nfs 2-4 (rpc #100003)
4662/tcp open edonkey?
5900/tcp open vnc VNC (protocol 3.7)
MAC Address: 00:13:8F:EB:1D:DD (Asiarock Incorporation)

Host script results:
|_ Discover OS Version over NetBIOS and SMB: Unix

Read data files from: /usr/local/share/nmap
Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 59.804 seconds
Raw packets sent: 1762 (77.526KB) | Rcvd: 1712 (78.748KB)

Un’ altra opzione della serie OUTPUT può essere quella che ci permette di avere la risposta , il risultato dello scanning , in un file di testo che conterrà tutto il risultato dello scanning e che potremo di conseguenza consultare ogni volta che ne avremo bisogno , perché se ad esempio abbiamo una vittima precisa , possono a seconda del caso cambiare le porte aperte , ma l’ OS vittima raramente può cambiare e quindi sarà un informazione che sarà sempre in nostro possesso , perché appunto nel file di testo salvato dall’ nMap.

esempio:

nmap -v 29.XXX.6.XX > brigante.txt

l’nMap in questo caso eseguirà lo scanning dell’ IP inb maniera invisibile , (se così possiamo dire), e tutto il risultato verrà salvatonel file di testo chiamato da noi brigante.txt ed automaticamente salvato in /root

Potete dalle informazioni sopra descritte capire l’ importanza di un tool come l’ nMap , è praticamente essenziale ad ogni occasione , e data la sua natura leggera , multipiattaforma , semplice e soprattutto opensource è praticamente essenziale ed irrinunciabile.

per una descrizione accurata , anche se in inglese , potete sempre recarvi sul sito ufficiale di insecure.org dove troverete tutte le opzioni , una ad una , con relativa descrizione…

Quì di seguito vi mostro un’ immagine dell’interfaccia grafica di cui l’ nMap gode in BackTrack

Tramite l’interfaccia grafica , ovvero l’ nMapFE , è possibile effettuare tutte le operazioni che possono essere fatte con la konsole , ovviamente si hanno i privilegi e gli inconvenienti che una GUI può avere a confronto di un uso tramite riga di comando , ma il tool ha dato prova anche nei casi sopra descritti di grande stabilità.Le opzioni dell’ nMapFE vanno settate tramite 5 linguette , poste in alto nella finestra , subito sotto la casella dove andremo ad inserie la stringa contenente l’indirizzo IP del nostro target e nelle varie linguette possiamo selezionare , sezione per sezione tutte le opzioni , tutte le nostre scelte che facciamo , possiamo controllarle ,(proprio come per l’ Hydra-Gtk ) , tramite la riga di caratteri posti nella parte bassa della finestra.Dire altro sull’ nMap , significherebbe dover stare quì ad elencare tutte le opzioni possibili ed immaginabili , vi ho più volte ripetuto che basta dare il comando nmap -h , da konsole che vi verranno elencate tutte le opzioni sezione per sezione quindi chi vuole oltre che recarsi al sito di insecure.org , può studiarsi il tool dal proprio pc.Lo consiglio vivamente , anche se personalmente ho imparato molto sull’ nMap proprio facendo gli scanning , notando le differenze e provando sempre opzioni nuove.

Fonte: Carlito Brigante Blog

2 Responses to “nMap -Network Mapping-”

1. cesar_yasus scrive:

   1 maggio 2010 alle 23:43

   ciao
   io sto seguendo la guida metasploit framework e sono arrivato al punto …….Bene, finita la lista degli strumenti di cui disponiamo passiamo a fare la scansione delle porte sull host
   preso come nostro target-vittima:
   alla diciasettesima pagina ….ma pultroppo non ho un exploit adatto neanche in una delle porte aperte

   SERVICE
   open http
   open netbios-ssn
   open https
   open microsoft-ds

   come posso fare per aprire la
   135/tcp open msrpc Microsoft Windows RPC come nella guida?
2. DigitalMit scrive:

   2 maggio 2010 alle 12:05

   Caro cesar_yasus, mi fa piacere vederti qui nel blog, ma devo dirti che hai un approccio sbagliato alla materia trattata. Non si tratta di fare uno scan e far partire un exploit a caso.

   Ti chiedo, hai capito cos’hai fatto con nmap o eventualmente nessus? che opzioni hai usato per lo scan?
   Hai fatto uno scan in locale o remoto? su che sistema operativo?

   Non per ogni porta aperta ci sono exploit fatti su misura. Il piu delle volte si tratta di modificare gli esistenti o meglio ancora crearne dei propri.

   Ti consiglio di crearti un Lab personale per testare tutti gli strumenti che ti mette a disposizione BT4