Escribiendo firmas para el sistema de detección de versiones de Nmap
12
Detección de versiones con Nmap Escribiendo firmas de detección de versiones
-
Upload
websec-mexico-sc -
Category
Internet
-
view
62 -
download
0
Transcript of Escribiendo firmas para el sistema de detección de versiones de Nmap
Detección de versiones con NmapEscribiendo firmas de detección de versiones
Motor de detección de versionesEl sistema de detección de versiones es de las funciones más útiles en Nmap.
Nos ayuda a identificar:
● Protocolos y aplicaciones
● Versiones
● Funcionalidad y módulos
A veces los servicios no son reconocidos correctamente:
● Firma incorrecta/desactualizada
● No existe firma aún
Campos de firmas de servicios
Probe ports sslportse
match softmatch totalwaitms
fallback rarity tcpwrapped
Probe
Syntax: Probe <protocol> <probename> <probestring>
Otras directivas
● ports
● sslports
● rarity
● totalwaitms
● fallback
match
Syntax: match <service> <pattern> [<versioninfo>]
versioninfo
● p/vendorproductname/
● v/version/
● i/info/
● h/hostname/
● o/operatingsystem/
● d/devicetype/
● cpe:/cpename/[a]
softmatch
Syntax: softmatch <service> <pattern>
Una firma de servicio
Probe TCP Help q|HELP\r\n|
rarity 3
ports 1,7,21,25,79,113,119,515,587
sslports 465
totalwaitms 7500
Otra firma de servicio
# This is the NULL probe that just compares any banners given to us
##############################NEXT PROBE##############################
Probe TCP NULL q||
# Wait for at least 5 seconds for data. Otherwise an Nmap default is used.
totalwaitms 5000
# Windows 2003
match ftp m/^220[ -]Microsoft FTP Service\r\n/ p/Microsoft ftpd/
match ftp m/^220 ProFTPD (\d\S+) Server/ p/ProFTPD/ v/$1/
softmatch ftp m/^220 [-.\w ]+ftp.*\r\n$/i
match ident m|^flock\(\) on closed filehandle .*midentd| p/midentd/ i/broken/
match imap m|^\* OK Welcome to Binc IMAP v(\d[-.\w]+)| p/Binc IMAPd/ v$1/
softmatch imap m/^\* OK [-.\w ]+imap[-.\w ]+\r\n$/i
match lucent-fwadm m|^0001;2$| p/Lucent Secure Management Server/
match meetingmaker m/^\xc1,$/ p/Meeting Maker calendaring/
match napster m|^1$| p/Lopster Napster P2P client/
¿Qué aprendimos?
● El sistema de detección de versiones nos sirve para
identificar aplicaciones, protocolos, versiones e
incluso funcionalidad.
● El sistema está basado en firmas que son almacenadas
en el archivo nmap-service-probes.
● Podemos extender este sistema y crear nuestras
propias firmas.
![NOMBRE SINOPSIS nmap especificación de objetivo · 2018. 10. 2. · NMAP(1) [FIXME: manual] NMAP(1) NOMBRE nmap − Herramienta de exploración de redes y de sondeo de seguridad](https://static.fdocuments.co/doc/165x107/5feae608b5996d77aa3efb02/nombre-sinopsis-nmap-especiicacin-de-objetivo-2018-10-2-nmap1-fixme.jpg)
![Guía de referencia de Nmap nmap — Herramienta de exploración de redes y de sondeo de seguridad / puertos nmap [ Tipo de sondeo...] [ Opciones] { especificación de objetivo} Descripción](https://static.fdocuments.co/doc/165x107/5af6c0017f8b9a9e598fce0d/gua-de-referencia-de-nmap-nmap-herramienta-de-exploracin-de-redes-y-de-sondeo.jpg)
