Home » » Analyse dune attaque (partie 2)

Analyse dune attaque (partie 2)

Analyse d'une attaque (partie 2)Analyse d'une attaque (Partie 1)

Don Parker

Nous vous avons montré dans la première partie les informations qui peuvent être observées lors de l'ouverture de la séquence de paquets envoyée par Nmap. La séquence envoyée commence par une réponse d'écho ICMP pour déterminer si une adresse IP a été attribuée à l'ordinateur ou au réseau.

De plus, nous pouvons également deviner que le réseau de l'ordinateur attaqué est un réseau basé sur Windows en regardant le ttl dans le paquet de réponse d'écho ICMP qu'il renvoie. Ce qu'il faut faire maintenant, c'est continuer à observer les paquets restants dans le scanner Nmap et découvrir les informations restantes pour pouvoir connaître le profil du réseau victime.

Continuer

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Les deux paquets ci-dessus viennent après les paquets ICMP que nous avons observés dans la partie 1. Nmap a envoyé un paquet ACK à l'adresse IP du réseau victime 192.168.111.23 sur le port 80. Comme les informations sont falsifiées, nous n'avons pas une vue d'ensemble ici. On voit seulement que le paquet ACK reçu de l'attaquant était un paquet RST en réponse, puisque cet ACK n'était pas attendu. Il ne s’agit pas essentiellement d’une partie d’une connexion établie précédemment. Nous avons toujours un ttl de 128 correspondant au ttl observé auparavant.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Suite à l'échange des paquets ACK et RST, nous pouvons voir qu'un véritable paquet SYN a été envoyé du pirate au réseau de la victime, comme le montre le paquet avec le S en gras. Cela nous permet de déduire que le paquet SYN/ACK revient du réseau de la victime sur son port 21. Cet échange est ensuite terminé par un paquet RST renvoyé de l'ordinateur du pirate au réseau de la victime. Ces trois paquets contiennent désormais une mine d’informations sur la contrefaçon.

Nous avons également ttl 128 de la machine victime, mais aussi win64240. Bien que cette valeur ne soit pas répertoriée, il s'agit en effet d'une taille que j'ai déjà vue à plusieurs reprises dans Win32 (versions 32 bits de Microsoft Windows telles que Win NT, 2K, XP et 2K3). Une autre limitation des ordinateurs Windows est qu’ils sont imprévisibles quant au nombre d’ID IP. Dans ce cas, nous n’avons qu’une seule valeur d’ID IP. Nous avons besoin d’au moins une valeur supplémentaire avant de pouvoir affirmer avec certitude que cet ordinateur est un ordinateur Microsoft Windows. Notez que, regardez les paquets restants de l'analyse Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

La première information que le pirate regarde est de voir si le numéro d'identification IP augmente à 399. Cette IP DI est en effet 399 comme nous pouvons l'observer au milieu du paquet. Grâce à ces informations, le pirate est certain que l'ordinateur victime qu'il attaque est Windows NT, 2K, XP ou 2K3. On observe également dans cette séquence de paquets que le port 80 du réseau victime semble avoir un service, comme en témoigne le paquet SYN/ACK, le paquet SYN/ACK est déterminé en examinant le champ d'indicateur dans l'en-tête TCP, dans ce cas la valeur hexadécimale soulignée est 12 ou 18 en décimal. Cette valeur peut être détectée en ajoutant la valeur de l'indicateur SYN 2 à la valeur de l'indicateur ACK 16.

Énumération

Une fois que le pirate sait que les deux ports 21 et 80 sont ouverts à l'entreprise, il entrera dans l'état d'énumération. Ce qu’il doit savoir maintenant, c’est quel type de serveur Web écoute les connexions. Il serait inutile pour ce pirate d’utiliser une vulnérabilité Apache sur un serveur Web IIS. Dans cet esprit, l’attaquant ouvrira une session cmd.exe et découvrira le type de réseau.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Nous pouvons observer le type de réseau marqué ci-dessus ou la syntaxe nc.exe que le pirate tape dans l'adresse IP de la victime ainsi que le port 80. Une fois à l'intérieur, le pirate tapera le HTTP de la méthode GET suivi de quelques phrases grammaticalement incorrectes. Cette action peut amener le serveur Web du réseau victime à renvoyer des informations à son système lorsqu'il ne comprend pas la nature de la demande. C'est pourquoi ils répertorient naturellement les informations nécessaires aux pirates informatiques. Le pirate peut désormais voir qu’il se trouve dans Microsoft IIS 5.0. Encore meilleure nouvelle, car les pirates informatiques ont plusieurs exploits pour cette version.

Conclusion

En effectuant une analyse du réseau de la victime à l'aide de Nmap, le pirate peut alors recevoir une série de paquets de données importants. À l'intérieur de ces paquets de données, comme nous l'avons vu, se trouvent de nombreuses informations permettant aux pirates d'exploiter les vulnérabilités de l'architecture, du système d'exploitation, du type de réseau et du type de serveur.

En bref, de cette façon, les pirates peuvent obtenir des informations clés sur l’hôte, l’architecture et les services fournis. Avec ces informations en main, le pirate peut lancer une attaque sur le serveur Web du réseau de la victime. Dans la section suivante, nous présenterons plus en détail les attaques que les pirates peuvent utiliser pour attaquer les utilisateurs dans ce cas.

Analyse d'une attaque (partie 2)Analyse d'une attaque (partie 3)

Tags: #cyberattaque #pirate informatique
Sign up and earn $1000 a day ⋙

Leave a Comment

Analyse dune attaque (partie 3)

Analyse dune attaque (partie 3)

Dans la partie 2 de cette série, nous avons laissé toutes les informations nécessaires requises pour une attaque sur le réseau de la victime.

Analyse dune attaque (Partie 1)

Analyse dune attaque (Partie 1)

Cette série sera basée sur une vulnérabilité du réseau. Ce qui sera présenté dans l'article est une véritable attaque, allant de la reconnaissance à l'énumération, l'exploitation du service réseau et se terminant par des stratégies d'exploitation de notification. Toutes ces étapes seront observées au niveau du paquet de données, puis expliquées en détail.

Les moniteurs externes peuvent avoir un impact négatif sur les batteries des ordinateurs portables.

Les moniteurs externes peuvent avoir un impact négatif sur les batteries des ordinateurs portables.

L’utilisation d’un ordinateur portable avec un écran externe est une excellente combinaison pour la productivité et vous aider à accomplir votre travail. Mais au fil du temps, vous constaterez que votre ordinateur portable se retrouve soudainement à court de batterie et que sa durée de vie commence à diminuer.

8 inconvénients majeurs des téléphones à écran pliable auxquels vous ne vous attendiez pas

8 inconvénients majeurs des téléphones à écran pliable auxquels vous ne vous attendiez pas

Il est indéniable que les téléphones pliables sont plutôt cool. Mais après un certain temps d'utilisation, cet appareil présente quelques bizarreries. Voici 5 inconvénients majeurs des téléphones à écran pliable auxquels vous ne vous attendriez pas !

Adobe apporte la technologie de création vidéo IA à Premiere Pro

Adobe apporte la technologie de création vidéo IA à Premiere Pro

Adobe a apporté la technologie de création de vidéos IA au grand public d'une nouvelle manière, même si elle n'a pas encore créé de film fini en utilisant cette technologie.

Derniers codes Genshin Impact (avril 2025)

Derniers codes Genshin Impact (avril 2025)

Le code Genshin Impact 5.5 vous aide à échanger contre des pierres primordiales, des minéraux magiques, de l'expérience et de nombreuses autres récompenses.

Comment transformer votre iPad en écran Mac supplémentaire

Comment transformer votre iPad en écran Mac supplémentaire

macOS Catalina et iPadOS incluent la prise en charge d'une nouvelle fonctionnalité appelée Sidecar, conçue pour vous permettre d'utiliser votre iPad comme écran secondaire pour votre Mac.

Fond décran 1280, magnifique fond décran pour téléphone Nokia 1280

Fond décran 1280, magnifique fond décran pour téléphone Nokia 1280

Il s'agit d'un ensemble de fonds d'écran Nokia 1280, si vous avez déjà envoyé un SMS pour obtenir des fonds d'écran 1280, des fonds d'écran de téléphone en brique, essayez de regarder ces fonds d'écran.

Eating bananas for breakfast helps you reduce bloating

Eating bananas for breakfast helps you reduce bloating

Bloating can happen to anyone. The good news is that breakfast is a great time to add a few ingredients to your meal that can help reduce bloating. That ingredient is bananas.

OpenAI annonce une mise à jour majeure de la génération dimages IA dans ChatGPT

OpenAI annonce une mise à jour majeure de la génération dimages IA dans ChatGPT

OpenAI vient de présenter officiellement une mise à niveau remarquable de la capacité de génération d'images IA dans ChatGPT, une étape importante en avant au lieu d'utiliser un modèle de génération d'images séparé comme le précédent DALL-E.

Deepseek publie un modèle de langage v3 gratuit qui fonctionne bien sur les configurations matérielles courantes

Deepseek publie un modèle de langage v3 gratuit qui fonctionne bien sur les configurations matérielles courantes

La startup chinoise d'IA DeepSeek vient de publier officiellement son dernier modèle de langage à grande échelle (LLM), DeepSeek-V3-0324.

Vœux de week-end doux et romantiques pour les amoureux

Vœux de week-end doux et romantiques pour les amoureux

Envoyez des vœux de week-end doux et romantiques à votre amoureux. Même s’il ne s’agit que de mots ou de messages, ils constitueront des cadeaux spirituels significatifs, contribuant à renforcer votre relation.

La série télévisée Harry Potter a besoin des éléments suivants pour réussir

La série télévisée Harry Potter a besoin des éléments suivants pour réussir

Le remake de Harry Potter de HBO devrait être diffusé en 2026. Voici ce qui fait le succès de la série télévisée Harry Potter.

De superbes photos de la super lune du monde entier

De superbes photos de la super lune du monde entier

Les belles photos de la lune ne sont pas rares sur Internet. L'article résumera pour vous les plus belles photos de lune au monde.

Les utilisateurs dAMD Ryzen devraient installer cette mise à jour du BIOS pour une amélioration gratuite des performances

Les utilisateurs dAMD Ryzen devraient installer cette mise à jour du BIOS pour une amélioration gratuite des performances

AMD a désormais répondu aux problèmes de sa gamme de processeurs phares sous-performants avec une nouvelle mise à jour qui pourrait fournir quelques images par seconde supplémentaires.

La valeur de X chute de 44 milliards de dollars à moins de 10 milliards de dollars

La valeur de X chute de 44 milliards de dollars à moins de 10 milliards de dollars

En octobre 2022, Elon Musk a dépensé 44 milliards de dollars pour acquérir X, mais à ce jour, la valeur de la plateforme a chuté de 78,6 % pour atteindre environ 9,4 milliards de dollars.

Comment le vaisseau spatial Orion est protégé des radiations extrêmes

Comment le vaisseau spatial Orion est protégé des radiations extrêmes

Lorsque la mission Artemis I de la NASA sera lancée avec succès dans l'espace et commencera son voyage autour de la Lune en 2022, il n'y aura pas d'astronautes à bord - à la place, il y aura deux mannequins de taille adulte.