falscher-sperrstatus
Goto Top

Servername aus zugreifbaren Diensten auslesen

Guten Morgen,

folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a). Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen). Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,

Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?

Viele Grüße und danke,

Christian

PS: Per Telnet lassen sich die Ports adressieren, also offensichtlich keine Firewall dazwischen.

Content-Key: 504521

Url: https://administrator.de/contentid/504521

Printed on: July 21, 2024 at 13:07 o'clock

Member: cykes
cykes Oct 13, 2019 at 09:30:42 (UTC)
Goto Top
Moin,


Zitat von @falscher-sperrstatus:
folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a).
Port 5357 spricht für das WSD-Protokoll (Web Services for Devices), sofern es nicht von irgendwelcher Malware ausgeht.
Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen).
Was genau heißt denn "zu nix plausiblen"? Ich würde zunächst mal in der RIPE-Datenbank einen IP-WHOIS starten -> https://apps.db.ripe.net/db-web-ui/#/query - der sollte Dir erstmal eine Eingrenzung in Bezug auf den "Besitzer" der IP geben, also damit der Provider/Hoster/etc. herausfindbar sein.
Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,
Gibt es denn Antworten, wenn Du Dich nicht per Telnet auf den o.g. Ports verbindest, sondern RDP, SMB usw. verwendest?
Gibt es vielleicht noch irgendeinen SSL/HTTPS-Dienst/Server, der auf der IP Antwortet, dann könntest Du das Zertifikat ggf. auslesen.
Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?
Wenn die Dienste beim Telnet-Zugriff nicht mit ihrem Hostnamen antworten, wird das eher schwierig.

Gruß

cykes
Mitglied: 141320
141320 Oct 13, 2019 updated at 10:24:12 (UTC)
Goto Top
  • Geh an deinen Switch und lese die ARP Tabelle aus, Dann gehe an den Port an dem die MAC-Adresse registriert ist, dann dem Kabel entlang und fertig face-smile.
zumindest eine Art whoareyou herauskitzeln zu können?
  • Wenn SMB/Netbios aktiv ist:
nbtstat -A [IP-ADRESSE]
  • Am DNS-Server nachschauen ob die IP sich mit Namen registiert hat.
Member: stefaan
stefaan Oct 13, 2019 updated at 10:19:47 (UTC)
Goto Top
Servus,

vielleicht nmap (MAC Vendor, OS detection).
Damit kann man eventuell die Hardware benennen.
Vielleicht eine (unbekannte/vergessene) VM?

Grüße, Stefan
Member: lcer00
lcer00 Oct 13, 2019 at 11:21:34 (UTC)
Goto Top
Hallo,

hast Du mal ein RDP auf den Host probiert? Vielleicht spuckt er ein Zertifikat aus?

Ansonsten - unbekannte Hosts im LAN sucht man über MAC & Switchports.

Grüße

lcer
Member: falscher-sperrstatus
falscher-sperrstatus Oct 13, 2019 updated at 13:47:16 (UTC)
Goto Top
Moin,

Also HTTPS bzw SSL kommt nichts.

Rdp ist immer so, dass das Zertifikat erst nach einem Zertifikatslosen TLS Handshake basiertem auth zur Verifizierung übermittelt wird. Wenn jemand einen kniff weiss, dies zu umgehen, bitte.

Telnet gibt, wie gesagt, nichts zurück. Auf die switche dazwischen hab ich bisher keinen Zugriff um die Kabel nach zu verfolgen.

Ich sehe nur die regelmäßigen Zugriffe, die also noch von vermutlich Anno xy konfiguriert sind und die durch mich bewarteten Systeme zwar nicht direkt bedrohen, aber jedes rauschen ist besser zu eliminieren, bevor was passiert.

Kennt sich jemand ggf noch auf der cmd genügend aus, um an die entsprechenden Dienste Anfrage a la hello world, melde dich zu schicken, die zumindest die OS Version eingrenzt?

Danke.
Member: brammer
brammer Oct 13, 2019 at 14:27:51 (UTC)
Goto Top
Hallo,

Versuche es einfach mal mit netscan. Die IP kennst du. In den Optionen kannst du die Mac Adresse und alle möglichen Infos abfragen... wenn er den antwortet...

Brammer
Member: falscher-sperrstatus
falscher-sperrstatus Oct 13, 2019 at 14:29:34 (UTC)
Goto Top
Die oben genannten Informationen sind alle, die ich dadurch auf den ersten Blick zusammen tragen kann. Wenn muss ich über diese Ports Auskunft erfragen. Sehe ansonsten derzeit keinen Weg.
Mitglied: 107235
107235 Oct 13, 2019 at 14:53:34 (UTC)
Goto Top
Wenn er irgendwie Lokal ist, dass man die ARP Tables der Switches angucken kann, dann würde ich so auch suchen. Bisher immer erfolgreich.

Ansonsten könnte man mit NMAP ggf etwas mehr über den Host rausfinden.
Member: cykes
cykes Oct 13, 2019 at 14:53:48 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:
Ich sehe nur die regelmäßigen Zugriffe, die also noch von vermutlich Anno xy konfiguriert sind und die durch mich bewarteten Systeme zwar nicht direkt bedrohen, aber jedes rauschen ist besser zu eliminieren, bevor was passiert.
Sind die Zugriffe denn erolgreich bzw. siehst Du auf was die Maschine zugreifen will? Vielleicht ist das auch nur ein Client, der irgendwo in der Firma schon immer stand und nur sporadisch benutzt wird.
Kennt sich jemand ggf noch auf der cmd genügend aus, um an die entsprechenden Dienste Anfrage a la hello world, melde dich zu schicken, die zumindest die OS Version eingrenzt?
nc6400 hatte Dir ja oben bereits nbtstat vorgeschlagen, um den NetBIOS-Verkehr genauzer zu untersuchen. Konntest Du damit nicht mehr herausfinden?
Kannst Du die IP des unbekannten Servers anpingen direkt gefolgt von einem "arp -a", um zumindest eine MAC-Adresse herauszubekommen?
Falls Du eine Linuxmaschine mit Samba im Kundennetz zur Verfügung hast, kannst Du es auch mal mit "mbmlookup -A <IP>" probieren, um den NetBIOS-Namen zu der IP herauszufinden.
Member: cobanm
cobanm Oct 13, 2019 updated at 17:45:22 (UTC)
Goto Top
openssl installieren und auf dem RDP Dienst das Zertifikat auslesen

openssl s_client -connect 192.168.0.1:3389

Das selfsigned Zertifikat ist auf den Computernamen ausgestellt
Member: em-pie
em-pie Oct 13, 2019 updated at 16:45:39 (UTC)
Goto Top
Moin,

hast du mal geschaut, ob du via Advanced LAN-Scanner bzw. Advanced Port-Scanner etwas heruasfinden kannst.

Wenn man einend er beiden tools gezielt auf die IP-Adresse ansetzt und mit den Standard-Ports belässt, könnte das erkenntnisse bringen.

Funktioniert zumindest, wenn ich in der vergangenheit (Unix)-Systeme vorfand, die zwar selbst einen Namen hatten, sich aber nicht am DNS registrierten bzw. dort auch keinen statischen EIntrag enthielten...

Mit dem PS-Befehl Get-SmbConnection -ServerName kommt man leider nur via DNS-Namen weiter.
Aber was du versuchen kannst: an deinem DNS-Server mal einen statischen A-Record hinterlegen und dann die PowerShell losschicken

Gruß
em-pie
Member: falscher-sperrstatus
falscher-sperrstatus Oct 13, 2019 at 18:16:59 (UTC)
Goto Top
Ich werde wahnsinnig. Also Befehl klappt mit unterschiedlichen Servern ab 2012r2. Mit dem betreffenden aber nicht. Also vermutlich älter als 2008.

@em-pie, danke für den Hinweis, dass das Tool nur mit DNS klar kommt hab ich heute morgen schon gehabt. Ich prüf Mal, ob es damit klar kommt. Aber sehr mysteriös
Member: cykes
cykes Oct 13, 2019 at 18:32:37 (UTC)
Goto Top
Hast Du vielleicht Zugriff auf eine zentrale Verwaltung der AV-Software, vielleicht kannst Du darüber mehr Informationen über das System/die IP herausfinden?
Member: falscher-sperrstatus
falscher-sperrstatus Oct 13, 2019 at 22:18:06 (UTC)
Goto Top
Zitat von @cykes:

Hast Du vielleicht Zugriff auf eine zentrale Verwaltung der AV-Software, vielleicht kannst Du darüber mehr Informationen über das System/die IP herausfinden?

Wenn es so einfach wäre, nein.
Member: rzlbrnft
rzlbrnft Oct 14, 2019 at 07:14:05 (UTC)
Goto Top
Ich würd mir ne Kali Linux in einer VM installieren und dann mal die üblichen Haxx0r Artikel durchgehen.
https://www.hackingarticles.in/a-little-guide-to-smb-enumeration/
Member: DerWoWusste
DerWoWusste Oct 14, 2019 at 12:24:14 (UTC)
Goto Top
Wenn NLA nicht aktiviert ist, kannst Du dich doch zur RDP-Anmeldemaske verbinden und dort den Rechnernamen auslesen, ohne dich dafür anmelden zu müssen.
Member: falscher-sperrstatus
falscher-sperrstatus Oct 14, 2019 at 12:26:45 (UTC)
Goto Top
Zitat von @DerWoWusste:

Wenn NLA nicht aktiviert ist, kannst Du dich doch zur RDP-Anmeldemaske verbinden und dort den Rechnernamen auslesen, ohne dich dafür anmelden zu müssen.

Probiert, nein, tut er nicht. Wie bereits geschrieben, das ist sehr mysteriös und ich bekomme hierüber auch nur "####" als Feedback von dem System. Ich denke, ich werd es jetzt einfach per Firewall blockieren und dann schauen, wenn jemand aufschreit. Bei der nächsten größeren Revision kommt es dann vermutlich auf, ganz frei nach "man findet die Dinge immer dann, wenn man sie nicht mehr sucht". Wie gesagt, ist auch nicht kritisch, mich verwundert es nur...
Member: DerWoWusste
DerWoWusste Oct 14, 2019 at 12:31:39 (UTC)
Goto Top
Was hattest Du zu RDP beschrieben? Ich lese nur von den Zertifikaten.
Du kommst nicht zur Anmeldemaske?
Member: falscher-sperrstatus
falscher-sperrstatus Nov 16, 2019 at 13:08:00 (UTC)
Goto Top
So, also ein paar Tests mit "normalen" Systemen haben entsprechend erwartbare Resultate gebracht, dieses eine System scheint aber bereits mehr schlecht als Recht zu existieren und dementsprechend quasi tot zu sein. Wir prüfen das nun bei der nächsten Revision der kompletten Infrastruktur/Switches und gut wird es (hoffentlich sein.)

Dennoch danke für die alle Tipps und Beiträge.
Member: lcer00
lcer00 Nov 16, 2019 at 14:52:46 (UTC)
Goto Top
Hallo,

und Du machst Dir da keine Sorgen, dass da ein System aktiv ist, dass Du a) nicht identifizieren kannst und das b) sich nicht so verhält wie Du es erwartest?

Grüße

lcer
Member: falscher-sperrstatus
falscher-sperrstatus Nov 16, 2019 at 15:14:04 (UTC)
Goto Top
Hi Icer,

wie oben bereits hergeleitet mache ich mir aus obig niedergelegtem Grund eher Gedanken, Sorgen nicht, da die Netze wie in fast allen (Kunden)installationen mittlerweile sehr granular getrennt sind. Bei div. anderen Netzen, die ich im Laufe der letzten Jahre sah und/oder neu aufbaute würde ich es definitiv - ähnlich wie dein Subton es bemerkt - kritischer sehen.

Viele Grüße und schönen Samstag