Escribiendo firmas para el sistema de detección de versiones de Nmap
-
Upload
websec-mexico-sc -
Category
Internet
-
view
62 -
download
0
Transcript of Escribiendo firmas para el sistema de detección de versiones de Nmap
Motor de detección de versionesEl sistema de detección de versiones es de las funciones más útiles en Nmap.
Nos ayuda a identificar:
● Protocolos y aplicaciones
● Versiones
● Funcionalidad y módulos
A veces los servicios no son reconocidos correctamente:
● Firma incorrecta/desactualizada
● No existe firma aún
Campos de firmas de servicios
Probe ports sslportse
match softmatch totalwaitms
fallback rarity tcpwrapped
versioninfo
● p/vendorproductname/
● v/version/
● i/info/
● h/hostname/
● o/operatingsystem/
● d/devicetype/
● cpe:/cpename/[a]
Una firma de servicio
Probe TCP Help q|HELP\r\n|
rarity 3
ports 1,7,21,25,79,113,119,515,587
sslports 465
totalwaitms 7500
Otra firma de servicio
# This is the NULL probe that just compares any banners given to us
##############################NEXT PROBE##############################
Probe TCP NULL q||
# Wait for at least 5 seconds for data. Otherwise an Nmap default is used.
totalwaitms 5000
# Windows 2003
match ftp m/^220[ -]Microsoft FTP Service\r\n/ p/Microsoft ftpd/
match ftp m/^220 ProFTPD (\d\S+) Server/ p/ProFTPD/ v/$1/
softmatch ftp m/^220 [-.\w ]+ftp.*\r\n$/i
match ident m|^flock\(\) on closed filehandle .*midentd| p/midentd/ i/broken/
match imap m|^\* OK Welcome to Binc IMAP v(\d[-.\w]+)| p/Binc IMAPd/ v$1/
softmatch imap m/^\* OK [-.\w ]+imap[-.\w ]+\r\n$/i
match lucent-fwadm m|^0001;2$| p/Lucent Secure Management Server/
match meetingmaker m/^\xc1,$/ p/Meeting Maker calendaring/
match napster m|^1$| p/Lopster Napster P2P client/
¿Qué aprendimos?
● El sistema de detección de versiones nos sirve para
identificar aplicaciones, protocolos, versiones e
incluso funcionalidad.
● El sistema está basado en firmas que son almacenadas
en el archivo nmap-service-probes.
● Podemos extender este sistema y crear nuestras
propias firmas.