mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/generic-methodologies-and-resources/pentesting-network/
This commit is contained in:
Translator
parent
3bd4f8e326
commit
2787b74508
@ -66,7 +66,7 @@ Gegeben ist eine MAC-Adresse **`12:34:56:78:9a:bc`**, die Link-Local IPv6-Adress
|
||||
|
||||
#### Methode 1: Verwendung von Link-Local-Adressen
|
||||
|
||||
1. Erhalten Sie die MAC-Adresse eines Geräts im Netzwerk.
|
||||
1. Ermitteln Sie die MAC-Adresse eines Geräts im Netzwerk.
|
||||
2. Leiten Sie die Link-Local IPv6-Adresse aus der MAC-Adresse ab.
|
||||
|
||||
#### Methode 2: Verwendung von Multicast
|
||||
@ -83,7 +83,7 @@ Es gibt mehrere Techniken zur Durchführung von MitM-Angriffen in IPv6-Netzwerke
|
||||
|
||||
- Spoofing von ICMPv6-Nachbar- oder Router-Anzeigen.
|
||||
- Verwendung von ICMPv6-Redirect- oder "Packet Too Big"-Nachrichten zur Manipulation des Routings.
|
||||
- Angriff auf mobiles IPv6 (erfordert normalerweise, dass IPSec deaktiviert ist).
|
||||
- Angriffe auf mobiles IPv6 (erfordert normalerweise, dass IPSec deaktiviert ist).
|
||||
- Einrichten eines bösartigen DHCPv6-Servers.
|
||||
|
||||
## Identifizierung von IPv6-Adressen im Feld
|
||||
@ -195,7 +195,7 @@ argp.add_argument('-t','--time',type=int,default=0,help='Duration (0 = infinite)
|
||||
a = argp.parse_args()
|
||||
sniff(iface=a.interface,prn=handler,timeout=a.time or None,store=0)
|
||||
```
|
||||
Ergebnis: eine vollständige **link-lokale Topologie** (MAC ⇄ IPv6) in Sekundenschnelle, ohne IPS/IDS-Systeme auszulösen, die auf aktiven Scans basieren.
|
||||
Ergebnis: eine vollständige **link-lokale Topologie** (MAC ⇄ IPv6) in wenigen Sekunden, ohne IPS/IDS-Systeme auszulösen, die auf aktiven Scans basieren.
|
||||
|
||||
### Router Advertisement (RA) Spoofing
|
||||
|
||||
@ -229,7 +229,7 @@ sudo ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
|
||||
```
|
||||
#### Router Advertisement Flags (M/O) & Default Router Preference (Prf)
|
||||
|
||||
| Flag | Bedeutung | Auswirkung auf das Client-Verhalten |
|
||||
| Flag | Bedeutung | Effekt auf das Verhalten des Clients |
|
||||
|------|-----------|-------------------------------------|
|
||||
| **M (Managed Address Configuration)** | Wenn auf `1` gesetzt, muss der Host **DHCPv6** verwenden, um seine IPv6-Adresse zu erhalten. | Die gesamte Adressierung erfolgt über DHCPv6 – perfekt für *mitm6* Stilvergiftung. |
|
||||
| **O (Other Configuration)** | Wenn auf `1` gesetzt, sollte der Host **DHCPv6** nur verwenden, um *andere* Informationen (DNS, NTP, …) zu erhalten. | Adresse weiterhin über SLAAC, aber DNS kann mit DHCPv6 gehijackt werden. |
|
||||
@ -244,13 +244,13 @@ Suchen Sie nach dem Feld `flags [M,O]` im Dump – kein Raten erforderlich.
|
||||
|
||||
Das **Prf** (Router Preference) Feld im RA-Header steuert, wie attraktiv Ihr rogue Router aussieht, wenn *mehrere* Gateways vorhanden sind:
|
||||
|
||||
| Prf-Wert | Binär | Bedeutung |
|
||||
|----------|-------|-----------|
|
||||
| **Hoch** | `10` | Clients bevorzugen diesen Router gegenüber jedem *Mittleren*/*Niedrigen* |
|
||||
| Mittel (Standard) | `01` | Wird von fast jedem legitimen Gerät verwendet |
|
||||
| Niedrig | `00` | Wird nur gewählt, wenn kein besserer Router vorhanden ist |
|
||||
| Prf-Wert | Binär | Bedeutung |
|
||||
|----------|--------|-----------|
|
||||
| **Hoch** | `10` | Clients bevorzugen diesen Router gegenüber jedem *Medium*/*Niedrig* Router |
|
||||
| Medium (Standard) | `01` | Wird von fast jedem legitimen Gerät verwendet |
|
||||
| Niedrig | `00` | Wird nur gewählt, wenn kein besserer Router vorhanden ist |
|
||||
|
||||
Beim Generieren des Pakets mit Scapy können Sie es über den `prf`-Parameter wie oben gezeigt festlegen (`prf=0x1` → Hoch). Die Kombination aus **Hoch Prf**, einem **kurzen Intervall** und einer **nicht null Lebensdauer** macht Ihr rogue Gateway bemerkenswert stabil.
|
||||
Beim Generieren des Pakets mit Scapy können Sie es über den `prf`-Parameter einstellen, wie oben gezeigt (`prf=0x1` → Hoch). Die Kombination aus **Hoch Prf**, einem **kurzen Intervall** und einer **nicht null Lebensdauer** macht Ihr rogue Gateway bemerkenswert stabil.
|
||||
|
||||
---
|
||||
|
||||
@ -280,7 +280,7 @@ Clients will **prepend** your DNS to their resolver list for the given lifetime,
|
||||
|
||||
### DHCPv6 DNS Spoofing (mitm6)
|
||||
|
||||
Anstatt SLAAC verlassen sich Windows-Netzwerke oft auf **stateless DHCPv6** für DNS. [mitm6](https://github.com/rofl0r/mitm6) antwortet automatisch auf `Solicit`-Nachrichten mit einem **Advertise → Reply**-Fluss, der **deine Link-Local-Adresse für 300 Sekunden als DNS zuweist**. Dies ermöglicht:
|
||||
Anstatt SLAAC verlassen sich Windows-Netzwerke oft auf **stateless DHCPv6** für DNS. [mitm6](https://github.com/rofl0r/mitm6) antwortet automatisch auf `Solicit`-Nachrichten mit einem **Advertise → Reply**-Fluss, der **deine Link-Local-Adresse als DNS für 300 Sekunden zuweist**. Dies ermöglicht:
|
||||
|
||||
* NTLM-Relay-Angriffe (WPAD + DNS-Hijacking)
|
||||
* Abfangen interner Namensauflösungen, ohne Router zu berühren
|
||||
@ -292,7 +292,7 @@ sudo mitm6 -i eth0 --no-ra # only DHCPv6 poisoning
|
||||
### Verteidigungen
|
||||
|
||||
* **RA Guard / DHCPv6 Guard / ND Inspection** auf verwalteten Switches.
|
||||
* Port-ACLs, die nur die MAC des legitimen Routers erlauben, RAs zu senden.
|
||||
* Port-ACLs, die nur die MAC des legitimen Routers das Senden von RAs erlauben.
|
||||
* Überwachen auf **unsolide hochfrequente RAs** oder plötzliche **RDNSS-Änderungen**.
|
||||
* Das Deaktivieren von IPv6 an Endpunkten ist eine vorübergehende Lösung, die oft moderne Dienste unterbricht und blinde Flecken verbirgt – bevorzuge stattdessen L2-Filterung.
|
||||
|
||||
|
||||
@ -10,7 +10,7 @@ Ein klassischer—aber immer noch äußerst effektiver—Angriffsvektor ist es,
|
||||
```bash
|
||||
onesixtyone -c community_strings.txt -i targets.txt
|
||||
```
|
||||
Andere schnelle Optionen sind das Nmap NSE-Skript `snmp-brute` oder Hydras SNMP-Modul:
|
||||
Andere schnelle Optionen sind das Nmap NSE-Skript `snmp-brute` oder das SNMP-Modul von Hydra:
|
||||
```bash
|
||||
nmap -sU -p161 --script snmp-brute --script-args brute.community=wordlist 10.0.0.0/24
|
||||
hydra -P wordlist.txt -s 161 10.10.10.1 snmp
|
||||
@ -62,10 +62,10 @@ Die Verfolgung von Anbieterhinweisen ist nützlich, um *zero-day-to-n-day* Mögl
|
||||
| Jahr | CVE | Betroffene Funktion | Auswirkung |
|
||||
|------|-----|---------------------|------------|
|
||||
| 2025 | CVE-2025-20174 | SNMP-Subsystem | Gefälschter Paket führt zu authentifiziertem *DoS* (Neustart) auf IOS/IOS-XE (v1/v2c/v3). |
|
||||
| 2024 | CVE-2024-20373 | IPv4 ACL-Verarbeitung | Falsch konfigurierte **erweiterte** ACLs *fehlen* stillschweigend, was nicht authentifiziertes SNMP-Polling ermöglicht, wenn eine gültige Community/ein Benutzer bekannt ist. |
|
||||
| 2025 | (noch kein CVE) | Umgehung der SNMPv3-Konfigurationsbeschränkung | Gültiger v3-Benutzer kann von Adressen abfragen, die abgelehnt werden sollten. |
|
||||
| 2024 | CVE-2024-20373 | IPv4 ACL-Verarbeitung | Falsch konfigurierte **erweiterte** ACLs *fehlen still*, was nicht authentifiziertes SNMP-Polling ermöglicht, wenn eine gültige Community/Nutzer bekannt ist. |
|
||||
| 2025 | (noch kein CVE) | Umgehung der SNMPv3-Konfigurationsbeschränkung | Gültiger v3-Nutzer kann von Adressen abfragen, die abgelehnt werden sollten. |
|
||||
|
||||
Die Ausnutzbarkeit hängt oft weiterhin davon ab, die Community-String oder v3-Anmeldeinformationen zu besitzen – ein weiterer Grund, warum das Brute-Forcing relevant bleibt.
|
||||
Die Ausnutzbarkeit hängt oft weiterhin davon ab, den Community-String oder v3-Anmeldeinformationen zu besitzen – ein weiterer Grund, warum das Brute-Forcing relevant bleibt.
|
||||
|
||||
---
|
||||
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user