# **Разведка и атаки внутри инфраструктуры** ###### tags: `Действия внутри инфраструктуры` ***В данной инструкции рассмотрим возможности злоумышленника, который уже попал внутрь инфраструктуры. Для выполнения данной работы необходимо подготовить следующий стенд (в данной инструкции использовался EVE-NG).*** * Машина атакующего (желательно машина с Kali Linux на борту, тут будем использовать просто машину внутри инфраструктуры) * Машины жертв (в нашем примере различные машины внутри инфраструктуры) * Межсетевой экран/маршрутизатор (для имитации защищенной организации, в примере pfsense) * Коммутатор (любой, в примере cisco) ****В результате нам понадобиться только внутрення часть инфраструктуры. !!!ПРЕДПОЛОЖЕМ, ЧТО МЫ УЖЕ ПРОНИКЛИ ИЗВНЕ ВНУТРЬ  *Итак, начнем!* 1. Наша инфраструктура может содержать любые машины, я оставил с прошлого урока. В данном пункте, мы попробуем произвести разведку внутри инфраструктуры, где нам ничего неизвестно, а также слушать трафик между машинами в сети (кроме того, в дальнейшем реализуем атаку ssl split, для того чтобы слушать трафик зашифрованный через ssl). Для начала мы будем использовать "уязвимость" протокола arp и через данный протокол проводить разведку, а после уже будем сканировать через протокол tcp/ip(nmap). Предположим, что мы проникли с нашей kali linux (kali lan на схеме). Далее, для того, чтобы просканировать сеть, воспользуемся утилитой arp-scan(можно также использовать netdiscover): **arp-scan -I eth0 192.168.100.0/24** где, ip адрес сети, которую мы сканируем (в реальной ситуации, мы можем не знать какая адресация используется в сети, поэтому можно указать например 192.168.0.0/16)/ С помощью arp-scan мы получили перечень ip адресов сети.  Далее, мы можем точечно просканировать каждую машину через nmap, чтобы узнать каждую из машин, например нам интересно выяснить какая машина на windows 7. Воспользуемся nmap: Я использовал такую команду: **nmap -O 192.168.100.102** перебирал ip и в итоге под 100.102 нашел windows7(можно для удобства добавить порты).  2. ARP-spoofing Итак, мы нашли активные машины в сети. Далее, попробуем "подцепиться" между данной машиной и например, роутером(не сложно догадаться, что у нас роутер имеет адрес 192.168.100.254, но в сети адрес заранее необходимо просканировать) и прослушать весь трафик, который идет между ними, для этого используется атака так называемая arp spoofing. Предварительно, необхоидмо настроить роутинг на машине атакующего, чтобы трафик проходил между машинами, иначе нас заметят, для этого вводим: **nano /etc/sysctl.conf** И там раскомментируем строчку: **net.ipv4.ip_forward=1** Для использования arpspoofing вводим следующую команду: **arpspoof -i eth0 -r 192.168.100.102 -t 192.168.100.254** где, -i - интерфейс -r - ip адрес первой жертвы -t - ip адрес второй жертвы между этими двумя жертвами мы слушаем трафик(порядок не важен).  Далее, запускаем wireshark и можем наблюдать трафик(для удобства, можем воспользоваться фильтрами).  Но как мы видим, большинство трафика зашифровано, необходимо как то обходить данную проблему. !!!!airpspoof мы не прерываем, также пусть выполняется. 3. Атака SSL-split для возможности слушать зашифрованный трафик внутри инфраструктуры. Итак, для реализации данной атаки для начала, нам необходимо создать SSL сертификат, который мы будем "подбрасывать" пользователям как легитимный(предварительно рекомендую создать папку для сертификатов в корневой директории /root). Создаем сертификаты: **openssl genrsa -out ca.key 4096** **openssl req -new -x509 -key ca.key -out ca.crt** Тут он будет запрашивать данные сертификата (Код страны, город, район и т.д.), можно указать как на скриншоте, а можно вводить свои.  Далее, прописывает следующие маршруты на нашей машине. **iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443 iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443 iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443 iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443 iptables -t nat -A PREROUTING -p tcp --dport 5222 -j REDIRECT --to-ports 8080** Они нам нужны, так как мы с помощью airpspoof перехватываем трафик и перенаправляем куда нам нужно, тут мы делаем также, но на специальные порты, определенного рода трафик. Далее, для использования ssl split создаем две папки: **mkdir /tmp/sslsplit/ mkdir logdir** Далее, непосредственно запускаем наш ssl split: **sslsplit \ -D \ -l connections.log \ -j /tmp/sslsplit/ \ -M ssl_key_logfile \ -S logdir/ \ -k ca.key \ -c ca.crt \ ssl 0.0.0.0 8443 \ tcp 0.0.0.0 8080**  SSL подмена завершена, теперь наши атакуемые машины будут использовать данный сертфиикат при обращении по портам, которые мы указали в iptables. Но есть проблема, наш сертификат не является доверенным у этих машин, есть несколько способов, что данный сертификат сделать доверенным(под видом легитимного по, вредонос, заставить руками). Для примера, мы просто добавим на конечной машине наш сертификат в доверенные. Делаем следующим образом - заходим на любой сайт https и когда "поругаеться" на сертификат, сверху выберем его и сохраним на ПК.  Затем, открываем его там, где мы сохранили и добавляем его в доверенные корневые сертификаты:  После этого у вас должны сайты открываться корректно:  Данный этап завершен. Теперь, переходим в нашу kali и открываем wireshark. В настройках wireshark переходим по следующему пути Preferences > Protocols > TLS  И там, в поле (Pre)-Master-Secret log filename указываем лог файл из папки что мы создавали под ssl.  С этого момента, мы можем просматривать трафик, который будет для нас расшифровываться. На скриншоте виден http трафик.