Analyse dune attaque (partie 3)
Dans la partie 2 de cette série, nous avons laissé toutes les informations nécessaires requises pour une attaque sur le réseau de la victime.
Analyse dune attaque (partie 2)
Analyse d'une attaque (Partie 1)
Don Parker
Nous vous avons montré dans la première partie les informations qui peuvent être observées lors de l'ouverture de la séquence de paquets envoyée par Nmap. La séquence envoyée commence par une réponse d'écho ICMP pour déterminer si une adresse IP a été attribuée à l'ordinateur ou au réseau.
De plus, nous pouvons également deviner que le réseau de l'ordinateur attaqué est un réseau basé sur Windows en regardant le ttl dans le paquet de réponse d'écho ICMP qu'il renvoie. Ce qu'il faut faire maintenant, c'est continuer à observer les paquets restants dans le scanner Nmap et découvrir les informations restantes pour pouvoir connaître le profil du réseau victime.
Continuer
10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..
10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........Les deux paquets ci-dessus viennent après les paquets ICMP que nous avons observés dans la partie 1. Nmap a envoyé un paquet ACK à l'adresse IP du réseau victime 192.168.111.23 sur le port 80. Comme les informations sont falsifiées, nous n'avons pas une vue d'ensemble ici. On voit seulement que le paquet ACK reçu de l'attaquant était un paquet RST en réponse, puisque cet ACK n'était pas attendu. Il ne s’agit pas essentiellement d’une partie d’une connexion établie précédemment. Nous avons toujours un ttl de 128 correspondant au ttl observé auparavant.
10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...
10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........
10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..Suite à l'échange des paquets ACK et RST, nous pouvons voir qu'un véritable paquet SYN a été envoyé du pirate au réseau de la victime, comme le montre le paquet avec le S en gras. Cela nous permet de déduire que le paquet SYN/ACK revient du réseau de la victime sur son port 21. Cet échange est ensuite terminé par un paquet RST renvoyé de l'ordinateur du pirate au réseau de la victime. Ces trois paquets contiennent désormais une mine d’informations sur la contrefaçon.
Nous avons également ttl 128 de la machine victime, mais aussi win64240. Bien que cette valeur ne soit pas répertoriée, il s'agit en effet d'une taille que j'ai déjà vue à plusieurs reprises dans Win32 (versions 32 bits de Microsoft Windows telles que Win NT, 2K, XP et 2K3). Une autre limitation des ordinateurs Windows est qu’ils sont imprévisibles quant au nombre d’ID IP. Dans ce cas, nous n’avons qu’une seule valeur d’ID IP. Nous avons besoin d’au moins une valeur supplémentaire avant de pouvoir affirmer avec certitude que cet ordinateur est un ordinateur Microsoft Windows. Notez que, regardez les paquets restants de l'analyse Nmap.
10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...
10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........
10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......La première information que le pirate regarde est de voir si le numéro d'identification IP augmente à 399. Cette IP DI est en effet 399 comme nous pouvons l'observer au milieu du paquet. Grâce à ces informations, le pirate est certain que l'ordinateur victime qu'il attaque est Windows NT, 2K, XP ou 2K3. On observe également dans cette séquence de paquets que le port 80 du réseau victime semble avoir un service, comme en témoigne le paquet SYN/ACK, le paquet SYN/ACK est déterminé en examinant le champ d'indicateur dans l'en-tête TCP, dans ce cas la valeur hexadécimale soulignée est 12 ou 18 en décimal. Cette valeur peut être détectée en ajoutant la valeur de l'indicateur SYN 2 à la valeur de l'indicateur ACK 16.
Énumération
Une fois que le pirate sait que les deux ports 21 et 80 sont ouverts à l'entreprise, il entrera dans l'état d'énumération. Ce qu’il doit savoir maintenant, c’est quel type de serveur Web écoute les connexions. Il serait inutile pour ce pirate d’utiliser une vulnérabilité Apache sur un serveur Web IIS. Dans cet esprit, l’attaquant ouvrira une session cmd.exe et découvrira le type de réseau.
C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87
The parameter is incorrect.
C:\>Nous pouvons observer le type de réseau marqué ci-dessus ou la syntaxe nc.exe que le pirate tape dans l'adresse IP de la victime ainsi que le port 80. Une fois à l'intérieur, le pirate tapera le HTTP de la méthode GET suivi de quelques phrases grammaticalement incorrectes. Cette action peut amener le serveur Web du réseau victime à renvoyer des informations à son système lorsqu'il ne comprend pas la nature de la demande. C'est pourquoi ils répertorient naturellement les informations nécessaires aux pirates informatiques. Le pirate peut désormais voir qu’il se trouve dans Microsoft IIS 5.0. Encore meilleure nouvelle, car les pirates informatiques ont plusieurs exploits pour cette version.
Conclusion
En effectuant une analyse du réseau de la victime à l'aide de Nmap, le pirate peut alors recevoir une série de paquets de données importants. À l'intérieur de ces paquets de données, comme nous l'avons vu, se trouvent de nombreuses informations permettant aux pirates d'exploiter les vulnérabilités de l'architecture, du système d'exploitation, du type de réseau et du type de serveur.
En bref, de cette façon, les pirates peuvent obtenir des informations clés sur l’hôte, l’architecture et les services fournis. Avec ces informations en main, le pirate peut lancer une attaque sur le serveur Web du réseau de la victime. Dans la section suivante, nous présenterons plus en détail les attaques que les pirates peuvent utiliser pour attaquer les utilisateurs dans ce cas.
Analyse dune attaque (Partie 1)
Cette série sera basée sur une vulnérabilité du réseau. Ce qui sera présenté dans l'article est une véritable attaque, allant de la reconnaissance à l'énumération, l'exploitation du service réseau et se terminant par des stratégies d'exploitation de notification. Toutes ces étapes seront observées au niveau du paquet de données, puis expliquées en détail.
Résolution des problèmes liés aux paramètres de proxy de Microsoft Teams
Vous rencontrez des problèmes avec le proxy dans Microsoft Teams ? Découvrez des solutions éprouvées pour résoudre ces erreurs. Videz le cache, ajustez les paramètres du proxy et retrouvez des appels fluides en quelques minutes grâce à notre guide expert.
Pourquoi mon enregistrement Microsoft Teams a-t-il échoué ? Raisons courantes
Vous êtes frustré(e) car votre enregistrement Microsoft Teams a échoué ? Découvrez les principales causes, telles que les problèmes d’autorisation, les limites de stockage et les dysfonctionnements du réseau, ainsi que des solutions étape par étape pour éviter les échecs futurs et enregistrer parfaitement à chaque fois.
Pourquoi ne puis-je pas voir les salles de sous-groupes dans ma réunion Teams ?
Vous êtes frustré(e) car les salles de sous-groupes sont introuvables dans vos réunions Teams ? Découvrez les principales raisons de leur absence et suivez nos solutions pas à pas pour les activer en quelques minutes. Idéal pour les organisateurs comme pour les participants !
Résolution des problèmes liés au trousseau derreurs de Microsoft Teams sur Mac
Vous rencontrez des problèmes avec le Trousseau d'accès Microsoft Teams sur Mac ? Découvrez des solutions de dépannage éprouvées et détaillées pour macOS afin de retrouver une collaboration fluide. Des solutions rapides à l'intérieur !
Où se trouvent les clés de registre de Microsoft Teams sous Windows 11 ?
Découvrez l'emplacement précis des clés de registre Microsoft Teams sous Windows 11. Ce guide pas à pas vous explique comment les trouver, y accéder et les modifier en toute sécurité pour optimiser les performances et résoudre les problèmes. Indispensable pour les professionnels de l'informatique et les utilisateurs de Teams.
Comment résoudre lerreur 1200 de Microsoft Teams sur téléphone (iOS/Android)
Vous en avez assez de l'erreur 1200 de Microsoft Teams qui interrompt vos appels téléphoniques ? Découvrez des solutions rapides et simples pour iOS et Android afin de reprendre rapidement une collaboration fluide, sans aucune compétence technique requise !
Où se trouve Microsoft Teams dans Outlook ? Localisation de l’icône manquante
Vous êtes frustré(e) par la disparition de l'icône Microsoft Teams dans Outlook ? Découvrez où la trouver, pourquoi elle disparaît et comment la faire réapparaître pour des réunions sans souci. Mise à jour pour les dernières versions !
Comment résoudre lerreur « Longlet Wiki de Microsoft Teams ne se charge pas »
Vous rencontrez des difficultés avec le chargement des onglets Wiki dans Microsoft Teams ? Découvrez des solutions éprouvées, étape par étape, pour résoudre rapidement le problème, restaurer vos onglets Wiki et optimiser la productivité de votre équipe en toute simplicité.
Comment résoudre lerreur matérielle de Microsoft Teams (correction du registre 2026)
Vous en avez assez des plantages de Microsoft Teams avec erreur critique ? Découvrez la solution éprouvée de 2026 modifications du registre qui résout le problème en quelques minutes. Guide pas à pas, captures d'écran et astuces pour une solution définitive. Compatible avec les dernières versions !
Comment rejoindre une réunion Microsoft Teams avec un identifiant et un code daccès
Rejoignez facilement une réunion Microsoft Teams grâce à votre identifiant et votre code d'accès, que ce soit sur ordinateur, mobile ou navigateur web. Suivez les instructions étape par étape avec des captures d'écran pour un accès rapide : aucune invitation n'est requise !
Comment vider le cache de Microsoft Teams pour résoudre les problèmes de performances
Vous rencontrez des problèmes de lenteur avec Microsoft Teams ? Découvrez comment vider le cache de Microsoft Teams étape par étape pour résoudre les problèmes de performance, les ralentissements et les plantages, et améliorer la vitesse sur Windows, Mac, le Web et les appareils mobiles. Des solutions rapides et efficaces !
Résolution des erreurs réseau de Microsoft Teams sur un réseau Wi-Fi public
Vous rencontrez des problèmes de réseau avec Microsoft Teams sur un réseau Wi-Fi public ? Trouvez des solutions instantanées : optimisation du VPN, vérification des ports et vidage du cache pour rétablir vos appels et réunions sans interruption. Guide pas à pas pour une résolution rapide.
Où trouver le code QR Microsoft Teams pour une connexion mobile rapide ?
Découvrez où trouver le code QR Microsoft Teams pour une connexion mobile ultra-rapide. Un guide pas à pas illustré vous permettra de vous connecter en quelques secondes, sans mot de passe !
Comment résoudre les problèmes de son étouffé ou absent du microphone dans Microsoft Teams
Vous en avez assez d'un son étouffé ou inexistant avec votre micro dans Microsoft Teams ? Découvrez comment résoudre les problèmes de micro de Microsoft Teams en quelques étapes simples et éprouvées. Un son clair vous attend !
Où trouver le dossier dinstallation de Microsoft Teams sur votre PC ?
Vous avez du mal à trouver le dossier d'installation de Microsoft Teams sur votre PC ? Ce guide pas à pas vous indique précisément où trouver les versions de Teams (nouvelle et classique), pour une installation par utilisateur ou par machine. Gagnez du temps !