GPEN学習メモ.md

GPEN学習メモ

• SYNスキャンとTCPスキャン

  • TCPスキャン
    • スリーウェイハンドシェイクのシーケンスが実行される
    • 通信が確立されてしまうので、ログに残りやすい
  • SYNスキャン
    • 完全なTCP接続の確立を行わない
    • ハーフオープンスキャン、ステルススキャンとも呼ばれる
    • SYNパケットを送りつけて、SYN/ACKが返ってきたら稼働中とする

• Scope Creep

  • 対象範囲となるターゲットが途中で増えてしまうこと

• Registry Key

  • Windowsのソフトウェアやハードウェアの設定情報などを記録したデータベース

• Sid2User

  • Windows用のユーザ名列挙ツール
  • Enumが使えない場合に使える
  • Allow anonymous SID/Name Translation というポリシーが設定されていることが必要

• Metasploit Payloadの種類

  • functionality
    • 攻撃コード
  • communication
    • Metasploitに繋ぎ返す方法
  • singles
    • functionalityとcommunicationの両方が入っていてスタンドアロンで動く

• RFC1918アドレス

  • RFC 1918: プライベート網のアドレス割当
  • プライベートIPアドレスのこと

• ネットワークにおけるトラップ

  • 通信機器などに障害や通信量の急増などの何からの変化が発生した際に、そのことを回線を通じて管理コンピュータに通報する仕組みのことをトラップという
  • SNMP（Simple Network Management Protocol）によるSNMPトラップが有名

• netcatでユーザ列挙するためのcmdコマンドが変わる

  • net user

• clsコマンド

  • コンソール画面をクリアする
  • linuxのclearと同じ

• cmdから共有フォルダにアクセスする

  • net use

• John The Ripper

  • External modeなら自分が書いたコードが動かせる

• pw-inspector

  • pw-inspector -m 8 -c 2 -u -l -n
  • 8文字以上, （大文字, 小文字, 数字) のうち2種類以上のcriteriaを含むパスワードに絞り込む

• scapy

  • sr (send and recieve)

• smbポート

  • TCP 139 or 445

• ADで利用できる認証プロトコル

  • LANMAN challenge/response, NTLMv1, NTLMv2, Microsoft Kerberos

• Windows Firewall設定を全部見るコマンド

  • netsh advfirewall show allprofiles

• stagerとstage

  • stager
    • Listenして接続を確立するなど
      • reverse_tcp, bind_tcp
    • stageを送り込む
  • stage
    • Meterpreterなど

• LANMAN Challenge/Responce と NTLMv1 Challenge/Responce の違い

  • ���使うハッシュが違う
    • LANMANはLANMANハッシュ
    • NTLMv1はNTハッシュ

• ScanRand

  • 高速TCPスキャンツール
    • スイッチのDoSを引き起こす危険性がある

• クライアントサイドエクスプロイト

  • サーバからコンテンツを引っ張ってくるクライアントアプリケーション

• OWASP ZAP Information Gathering プラグイン

  • 使われていないファイルやルーティングされていないIPを明らかにする

• NSE sshv1.nse

  • SSH version1がサポートされているかどうかを調べるnmap NSEスクリプト

• NSEでスクリプトの出力結果を見たい場合

  • nmap --script-trace --script=...

• 脅威と脆弱性

  • 脅威とは脆弱性を使って攻撃ができる or する動機のある行為者のことである

• digコマンド AXFR と IXFR

  • AXFR
    • 全てのゾーン情報を同期する
  • IXFR
    • 過去のゾーン転送情報を記録しておき、指定された時点からの差分のみを同期する

• john the ripperの状況保存ファイル

  • john.rec
    • クラッシュ時などに復旧するために使う

• デフォルトの Administrator アカウントは RID=500

  • 名前を変更しても変わらない

• ADのパスワード保存場所

  • %ststemroot%\ntds\ntds.dit

• Hybrid Guessing

  • パスワードリストの文字を大文字小文字や数字を含ませるなど少し変えたりするテクニック

• RIR (Regional Internet Registry)

  • IPアドレスとAS番号の配分と登録を管理する組織
  • ARIN
    • 北アメリカ
  • RIPE NCC
    • ヨーロッパ、中東、中央アジア
  • APNIC
    • アジア、太平洋
  • LACNIC
    • ラテンアメリカ、カリブ海

• Vulnerability Assessment

  • 環境において物理、ネットワークの弱点となりうるものを分析する
  • 実際の攻撃は行わないという点でペンテストとは異なる

• nmap -sS

  • SYNスキャン
  • 検知されにくい

• nmap -sU

  • UDPスキャン

• nmap -sT

  • TCP Connectスキャン

• nmap -O

  • OS検出

• Port Closed, Filtered

  • Closed
    • 到達可能だがアプリケーションが動いていない
  • Filtered
    • 到達不可能であるためOpenかClosedか判断できない

• udpスキャンClosedの際

  • ICMP unreachableが返ってくる

• Linuxの特徴

  • UDPスキャンを使用してWebサーバーを実行しているリモートシステムをスキャンし、スニファを使用してスキャンを監視しているときに、ターゲットが1秒に1回ICMP Port Unreachableで応答していることがわかります
  • UDPでtracerouteする

• Network Sweep

  • 一定範囲内のIPアドレスにpingなどを飛ばしてホストを探すこと

• Version Scanning

  • あるポートで動いているサービスとそのバージョンを特定すること

• どのハッシュアルゴリズムのハッシュ値か調べたい時

  • CainのText to Hash機能を使うと、各ハッシュアルゴリズムがどのような形式のハッシュ値を出力するのかを調べることができる

• Webアプリケーションに対してどのツールを使うべきか

  • 既知のフレームワークなど
    • Nikto, Nessusなどのスキャンツール
  • インハウスで作られたもの
    • Non-transparent Proxy
      • ZAP, Burpなど

• Windowsが最近通信したホストを知りたい時

  • ipconfig /displaydns

• OSSTMM

  • Open Source Security Testing Methodology Manual
  • レポートのテンプレートが含まれており有用
  • 深い技術的な知識は提供しない

• 報告書

  • 細かい技術的詳細、ここの脆弱性や対処方法についてはFindingsに書く

• サービスサイド or クライアントサイド exploit

  • サービスサイド
    • ネットワーク上でリッスンしているポートを攻撃する
  • クライアントサイド
    • クライアントのアプリケーションで細工したファイルを開かせるなどで攻撃する

• UDPでしか通信できない時

  • TFTPならUDPでファイルを持ち出すことができる

• WindowsでローカルのAdministratorを列挙したい際

  • net localgroup administrators

• 高速にポートスキャンするためのFirewall設定

  • closedなポートに対して以下のレスポンスを返すようにする
    • TCP: RESET
    • UDP: ICMP Unreachable

• ファイルから重複行を取り除きたい時

  • cat wordlist.txt | sort | uniq > dictionary.txt

• NT hashについて

  • 最大256文字までのパスワードがMD4を使用してハッシュされ、大文字と小文字は保持され、ソルト付与はされません。

• wmic

  • 細かい粒度でシステムの管理

• Metasploit upexex

  • バイナリを送りこんで即座に実行するペイロード

• Windowsにユーザを追加する

  • net user pentester password /add

• レインボーテーブルのスピードアップコンセプト

  • Time-Memory Trade-Off

• WindowsでHDDの削除されたファイルを0で上書きして完全消去

  • cipher /w:C

• IMAPS

  • IMAP over SSL/TLS

• POP3S

  • POP3 over SSL/TLS

• Wikto

• Microsoftの.NETフレームワークにNiktoをポーティングしたもので、WindowsのGUIでNiktoのようなスキャンが実施できる。さらに、Google Hacking Database(GHDB)も追加できる。Wiktoはsensepost.com ゙無償配布されている

• DNSのポート

  • 512bytesまで
    • 53/UDP
  • それ以上
    • 53/TCP

• ターミナル

  • GUIでCUI環境を再現するもの

• シェル

  • CUI環境における対話的インターフェイス

• ttyコマンド

  • 接続端末のデバイスファイル名を表示する
  • /dev/ttys001

• netcat persistent listener

  • -L オプション
  • クライアントとのセッションが切れてもリッスンし続ける

• Penetration Testing Framework

  • ToggmeisterとLawsonによって書かれた網羅的なステップバイステップペンテストガイド

• ストアドプロシージャ

  • データベースに対する一連の処理をまとめた手続きにして、RDBMSに保存したもの
  • sp_makewebtask
    • 指定したファイルを書き出す

• response personnel

  • インシデントレスポンスチーム、CSIRT的な？

• Cain

  • LANMAN Challenge/Responseをクラックするなど

• RoE

  • あくまでもペンテストのやり方を書く
  • 責任がどこ？値段は？などは契約書

• IDS

  • Intrusion Detection System
  • 侵入検知システム。悪意のある第三者からのアクセス・侵入を検出し通知する

• IPS

  • Intrusion Prevention System
  • 侵入防止システム。不正な通信を検出し通知するほか、その通信を遮断する

• badsum

  • --badsum をnmapオプションに加えることでファイアウォールの存在を見つけることができる場合がある

• metepreterでのSAMデータベースの取得

  • priv

• traceroute

  • リクエストタイムアウトは到達しているが応答を返さないことを示している
  • 到達性がないならば reports: Destination host unreachable. が返る

• Johnのパフォーマンスチェック

  • ./john --test
  • 毎秒どれくらいのパスワードを試すかなどを知ることができる

• scコマンドの欠点

  • 実行から30秒後にプロセスがキルされる

• Windowsで全ての環境変数を見る方法

  • setコマンド

• nmap NSEでログに残したくない時

  • intrusiveだけは避ける

• XPで何もインストールせずにファイル転送したいとき

  • SMB（Sever Message Block）を使う

• nmapでターゲットが同じサブネットにいる時

  • arpでホストを探索する

• WindowsでArpテーブルの表示

  • arp -a

• CainでArp Spoofingする場合

  • ARP-Poisoned Routing機能を使用する