Servername aus zugreifbaren Diensten auslesen
Guten Morgen,
folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a). Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen). Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,
Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?
Viele Grüße und danke,
Christian
PS: Per Telnet lassen sich die Ports adressieren, also offensichtlich keine Firewall dazwischen.
folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a). Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen). Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,
Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?
Viele Grüße und danke,
Christian
PS: Per Telnet lassen sich die Ports adressieren, also offensichtlich keine Firewall dazwischen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 504521
Url: https://administrator.de/forum/servername-aus-zugreifbaren-diensten-auslesen-504521.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
21 Kommentare
Neuester Kommentar
Moin,
Gibt es vielleicht noch irgendeinen SSL/HTTPS-Dienst/Server, der auf der IP Antwortet, dann könntest Du das Zertifikat ggf. auslesen.
Gruß
cykes
Zitat von @certifiedit.net:
folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a).
Port 5357 spricht für das WSD-Protokoll (Web Services for Devices), sofern es nicht von irgendwelcher Malware ausgeht.folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a).
Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen).
Was genau heißt denn "zu nix plausiblen"? Ich würde zunächst mal in der RIPE-Datenbank einen IP-WHOIS starten -> https://apps.db.ripe.net/db-web-ui/#/query - der sollte Dir erstmal eine Eingrenzung in Bezug auf den "Besitzer" der IP geben, also damit der Provider/Hoster/etc. herausfindbar sein.Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,
Gibt es denn Antworten, wenn Du Dich nicht per Telnet auf den o.g. Ports verbindest, sondern RDP, SMB usw. verwendest?Gibt es vielleicht noch irgendeinen SSL/HTTPS-Dienst/Server, der auf der IP Antwortet, dann könntest Du das Zertifikat ggf. auslesen.
Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?
Wenn die Dienste beim Telnet-Zugriff nicht mit ihrem Hostnamen antworten, wird das eher schwierig.Gruß
cykes
- Geh an deinen Switch und lese die ARP Tabelle aus, Dann gehe an den Port an dem die MAC-Adresse registriert ist, dann dem Kabel entlang und fertig .
zumindest eine Art whoareyou herauskitzeln zu können?
- Wenn SMB/Netbios aktiv ist:
nbtstat -A [IP-ADRESSE]
- Am DNS-Server nachschauen ob die IP sich mit Namen registiert hat.
Wenn er irgendwie Lokal ist, dass man die ARP Tables der Switches angucken kann, dann würde ich so auch suchen. Bisher immer erfolgreich.
Ansonsten könnte man mit NMAP ggf etwas mehr über den Host rausfinden.
Ansonsten könnte man mit NMAP ggf etwas mehr über den Host rausfinden.
Zitat von @certifiedit.net:
Ich sehe nur die regelmäßigen Zugriffe, die also noch von vermutlich Anno xy konfiguriert sind und die durch mich bewarteten Systeme zwar nicht direkt bedrohen, aber jedes rauschen ist besser zu eliminieren, bevor was passiert.
Sind die Zugriffe denn erolgreich bzw. siehst Du auf was die Maschine zugreifen will? Vielleicht ist das auch nur ein Client, der irgendwo in der Firma schon immer stand und nur sporadisch benutzt wird.Ich sehe nur die regelmäßigen Zugriffe, die also noch von vermutlich Anno xy konfiguriert sind und die durch mich bewarteten Systeme zwar nicht direkt bedrohen, aber jedes rauschen ist besser zu eliminieren, bevor was passiert.
Kennt sich jemand ggf noch auf der cmd genügend aus, um an die entsprechenden Dienste Anfrage a la hello world, melde dich zu schicken, die zumindest die OS Version eingrenzt?
nc6400 hatte Dir ja oben bereits nbtstat vorgeschlagen, um den NetBIOS-Verkehr genauzer zu untersuchen. Konntest Du damit nicht mehr herausfinden?Kannst Du die IP des unbekannten Servers anpingen direkt gefolgt von einem "arp -a", um zumindest eine MAC-Adresse herauszubekommen?
Falls Du eine Linuxmaschine mit Samba im Kundennetz zur Verfügung hast, kannst Du es auch mal mit "mbmlookup -A <IP>" probieren, um den NetBIOS-Namen zu der IP herauszufinden.
Moin,
hast du mal geschaut, ob du via Advanced LAN-Scanner bzw. Advanced Port-Scanner etwas heruasfinden kannst.
Wenn man einend er beiden tools gezielt auf die IP-Adresse ansetzt und mit den Standard-Ports belässt, könnte das erkenntnisse bringen.
Funktioniert zumindest, wenn ich in der vergangenheit (Unix)-Systeme vorfand, die zwar selbst einen Namen hatten, sich aber nicht am DNS registrierten bzw. dort auch keinen statischen EIntrag enthielten...
Mit dem PS-Befehl Get-SmbConnection -ServerName kommt man leider nur via DNS-Namen weiter.
Aber was du versuchen kannst: an deinem DNS-Server mal einen statischen A-Record hinterlegen und dann die PowerShell losschicken
Gruß
em-pie
hast du mal geschaut, ob du via Advanced LAN-Scanner bzw. Advanced Port-Scanner etwas heruasfinden kannst.
Wenn man einend er beiden tools gezielt auf die IP-Adresse ansetzt und mit den Standard-Ports belässt, könnte das erkenntnisse bringen.
Funktioniert zumindest, wenn ich in der vergangenheit (Unix)-Systeme vorfand, die zwar selbst einen Namen hatten, sich aber nicht am DNS registrierten bzw. dort auch keinen statischen EIntrag enthielten...
Mit dem PS-Befehl Get-SmbConnection -ServerName kommt man leider nur via DNS-Namen weiter.
Aber was du versuchen kannst: an deinem DNS-Server mal einen statischen A-Record hinterlegen und dann die PowerShell losschicken
Gruß
em-pie
Ich würd mir ne Kali Linux in einer VM installieren und dann mal die üblichen Haxx0r Artikel durchgehen.
https://www.hackingarticles.in/a-little-guide-to-smb-enumeration/
https://www.hackingarticles.in/a-little-guide-to-smb-enumeration/