Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Servername aus zugreifbaren Diensten auslesen

Mitglied: certifiedit.net

certifiedit.net (Level 5) - Jetzt verbinden

13.10.2019, aktualisiert 10:30 Uhr, 1351 Aufrufe, 21 Kommentare

Guten Morgen,

folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a). Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen). Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,

Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?

Viele Grüße und danke,

Christian

PS: Per Telnet lassen sich die Ports adressieren, also offensichtlich keine Firewall dazwischen.
Mitglied: cykes
13.10.2019 um 11:30 Uhr
Moin,


Zitat von certifiedit.net:
folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a).
Port 5357 spricht für das WSD-Protokoll (Web Services for Devices), sofern es nicht von irgendwelcher Malware ausgeht.
Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen).
Was genau heißt denn "zu nix plausiblen"? Ich würde zunächst mal in der RIPE-Datenbank einen IP-WHOIS starten -> https://apps.db.ripe.net/db-web-ui/#/query - der sollte Dir erstmal eine Eingrenzung in Bezug auf den "Besitzer" der IP geben, also damit der Provider/Hoster/etc. herausfindbar sein.
Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,
Gibt es denn Antworten, wenn Du Dich nicht per Telnet auf den o.g. Ports verbindest, sondern RDP, SMB usw. verwendest?
Gibt es vielleicht noch irgendeinen SSL/HTTPS-Dienst/Server, der auf der IP Antwortet, dann könntest Du das Zertifikat ggf. auslesen.
Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?
Wenn die Dienste beim Telnet-Zugriff nicht mit ihrem Hostnamen antworten, wird das eher schwierig.

Gruß

cykes
Bitte warten ..
Mitglied: 141320
13.10.2019, aktualisiert um 12:24 Uhr
  • Geh an deinen Switch und lese die ARP Tabelle aus, Dann gehe an den Port an dem die MAC-Adresse registriert ist, dann dem Kabel entlang und fertig .
zumindest eine Art whoareyou herauskitzeln zu können?
  • Wenn SMB/Netbios aktiv ist:
01.
nbtstat -A [IP-ADRESSE]
  • Am DNS-Server nachschauen ob die IP sich mit Namen registiert hat.
Bitte warten ..
Mitglied: stefaan
13.10.2019, aktualisiert um 12:19 Uhr
Servus,

vielleicht nmap (MAC Vendor, OS detection).
Damit kann man eventuell die Hardware benennen.
Vielleicht eine (unbekannte/vergessene) VM?

Grüße, Stefan
Bitte warten ..
Mitglied: lcer00
13.10.2019 um 13:21 Uhr
Hallo,

hast Du mal ein RDP auf den Host probiert? Vielleicht spuckt er ein Zertifikat aus?

Ansonsten - unbekannte Hosts im LAN sucht man über MAC & Switchports.

Grüße

lcer
Bitte warten ..
Mitglied: certifiedit.net
13.10.2019, aktualisiert um 15:47 Uhr
Moin,

Also HTTPS bzw SSL kommt nichts.

Rdp ist immer so, dass das Zertifikat erst nach einem Zertifikatslosen TLS Handshake basiertem auth zur Verifizierung übermittelt wird. Wenn jemand einen kniff weiss, dies zu umgehen, bitte.

Telnet gibt, wie gesagt, nichts zurück. Auf die switche dazwischen hab ich bisher keinen Zugriff um die Kabel nach zu verfolgen.

Ich sehe nur die regelmäßigen Zugriffe, die also noch von vermutlich Anno xy konfiguriert sind und die durch mich bewarteten Systeme zwar nicht direkt bedrohen, aber jedes rauschen ist besser zu eliminieren, bevor was passiert.

Kennt sich jemand ggf noch auf der cmd genügend aus, um an die entsprechenden Dienste Anfrage a la hello world, melde dich zu schicken, die zumindest die OS Version eingrenzt?

Danke.
Bitte warten ..
Mitglied: brammer
13.10.2019 um 16:27 Uhr
Hallo,

Versuche es einfach mal mit netscan. Die IP kennst du. In den Optionen kannst du die Mac Adresse und alle möglichen Infos abfragen... wenn er den antwortet...

Brammer
Bitte warten ..
Mitglied: certifiedit.net
13.10.2019 um 16:29 Uhr
Die oben genannten Informationen sind alle, die ich dadurch auf den ersten Blick zusammen tragen kann. Wenn muss ich über diese Ports Auskunft erfragen. Sehe ansonsten derzeit keinen Weg.
Bitte warten ..
Mitglied: wiggumm
13.10.2019 um 16:53 Uhr
Wenn er irgendwie Lokal ist, dass man die ARP Tables der Switches angucken kann, dann würde ich so auch suchen. Bisher immer erfolgreich.

Ansonsten könnte man mit NMAP ggf etwas mehr über den Host rausfinden.
Bitte warten ..
Mitglied: cykes
13.10.2019 um 16:53 Uhr
Zitat von certifiedit.net:
Ich sehe nur die regelmäßigen Zugriffe, die also noch von vermutlich Anno xy konfiguriert sind und die durch mich bewarteten Systeme zwar nicht direkt bedrohen, aber jedes rauschen ist besser zu eliminieren, bevor was passiert.
Sind die Zugriffe denn erolgreich bzw. siehst Du auf was die Maschine zugreifen will? Vielleicht ist das auch nur ein Client, der irgendwo in der Firma schon immer stand und nur sporadisch benutzt wird.
Kennt sich jemand ggf noch auf der cmd genügend aus, um an die entsprechenden Dienste Anfrage a la hello world, melde dich zu schicken, die zumindest die OS Version eingrenzt?
nc6400 hatte Dir ja oben bereits nbtstat vorgeschlagen, um den NetBIOS-Verkehr genauzer zu untersuchen. Konntest Du damit nicht mehr herausfinden?
Kannst Du die IP des unbekannten Servers anpingen direkt gefolgt von einem "arp -a", um zumindest eine MAC-Adresse herauszubekommen?
Falls Du eine Linuxmaschine mit Samba im Kundennetz zur Verfügung hast, kannst Du es auch mal mit "mbmlookup -A <IP>" probieren, um den NetBIOS-Namen zu der IP herauszufinden.
Bitte warten ..
Mitglied: cobanm
13.10.2019, aktualisiert um 19:45 Uhr
openssl installieren und auf dem RDP Dienst das Zertifikat auslesen

01.
openssl s_client -connect 192.168.0.1:3389
Das selfsigned Zertifikat ist auf den Computernamen ausgestellt
Bitte warten ..
Mitglied: em-pie
13.10.2019, aktualisiert um 18:45 Uhr
Moin,

hast du mal geschaut, ob du via Advanced LAN-Scanner bzw. Advanced Port-Scanner etwas heruasfinden kannst.

Wenn man einend er beiden tools gezielt auf die IP-Adresse ansetzt und mit den Standard-Ports belässt, könnte das erkenntnisse bringen.

Funktioniert zumindest, wenn ich in der vergangenheit (Unix)-Systeme vorfand, die zwar selbst einen Namen hatten, sich aber nicht am DNS registrierten bzw. dort auch keinen statischen EIntrag enthielten...

Mit dem PS-Befehl Get-SmbConnection -ServerName kommt man leider nur via DNS-Namen weiter.
Aber was du versuchen kannst: an deinem DNS-Server mal einen statischen A-Record hinterlegen und dann die PowerShell losschicken

Gruß
em-pie
Bitte warten ..
Mitglied: certifiedit.net
13.10.2019 um 20:16 Uhr
Ich werde wahnsinnig. Also Befehl klappt mit unterschiedlichen Servern ab 2012r2. Mit dem betreffenden aber nicht. Also vermutlich älter als 2008.

@em-pie, danke für den Hinweis, dass das Tool nur mit DNS klar kommt hab ich heute morgen schon gehabt. Ich prüf Mal, ob es damit klar kommt. Aber sehr mysteriös
Bitte warten ..
Mitglied: cykes
13.10.2019 um 20:32 Uhr
Hast Du vielleicht Zugriff auf eine zentrale Verwaltung der AV-Software, vielleicht kannst Du darüber mehr Informationen über das System/die IP herausfinden?
Bitte warten ..
Mitglied: certifiedit.net
14.10.2019 um 00:18 Uhr
Zitat von cykes:

Hast Du vielleicht Zugriff auf eine zentrale Verwaltung der AV-Software, vielleicht kannst Du darüber mehr Informationen über das System/die IP herausfinden?

Wenn es so einfach wäre, nein.
Bitte warten ..
Mitglied: rzlbrnft
14.10.2019 um 09:14 Uhr
Ich würd mir ne Kali Linux in einer VM installieren und dann mal die üblichen Haxx0r Artikel durchgehen.
https://www.hackingarticles.in/a-little-guide-to-smb-enumeration/
Bitte warten ..
Mitglied: DerWoWusste
14.10.2019 um 14:24 Uhr
Wenn NLA nicht aktiviert ist, kannst Du dich doch zur RDP-Anmeldemaske verbinden und dort den Rechnernamen auslesen, ohne dich dafür anmelden zu müssen.
Bitte warten ..
Mitglied: certifiedit.net
14.10.2019 um 14:26 Uhr
Zitat von DerWoWusste:

Wenn NLA nicht aktiviert ist, kannst Du dich doch zur RDP-Anmeldemaske verbinden und dort den Rechnernamen auslesen, ohne dich dafür anmelden zu müssen.

Probiert, nein, tut er nicht. Wie bereits geschrieben, das ist sehr mysteriös und ich bekomme hierüber auch nur "" als Feedback von dem System. Ich denke, ich werd es jetzt einfach per Firewall blockieren und dann schauen, wenn jemand aufschreit. Bei der nächsten größeren Revision kommt es dann vermutlich auf, ganz frei nach "man findet die Dinge immer dann, wenn man sie nicht mehr sucht". Wie gesagt, ist auch nicht kritisch, mich verwundert es nur...
Bitte warten ..
Mitglied: DerWoWusste
14.10.2019 um 14:31 Uhr
Was hattest Du zu RDP beschrieben? Ich lese nur von den Zertifikaten.
Du kommst nicht zur Anmeldemaske?
Bitte warten ..
Mitglied: certifiedit.net
16.11.2019 um 14:08 Uhr
So, also ein paar Tests mit "normalen" Systemen haben entsprechend erwartbare Resultate gebracht, dieses eine System scheint aber bereits mehr schlecht als Recht zu existieren und dementsprechend quasi tot zu sein. Wir prüfen das nun bei der nächsten Revision der kompletten Infrastruktur/Switches und gut wird es (hoffentlich sein.)

Dennoch danke für die alle Tipps und Beiträge.
Bitte warten ..
Mitglied: lcer00
16.11.2019 um 15:52 Uhr
Hallo,

und Du machst Dir da keine Sorgen, dass da ein System aktiv ist, dass Du a) nicht identifizieren kannst und das b) sich nicht so verhält wie Du es erwartest?

Grüße

lcer
Bitte warten ..
Mitglied: certifiedit.net
16.11.2019 um 16:14 Uhr
Hi Icer,

wie oben bereits hergeleitet mache ich mir aus obig niedergelegtem Grund eher Gedanken, Sorgen nicht, da die Netze wie in fast allen (Kunden)installationen mittlerweile sehr granular getrennt sind. Bei div. anderen Netzen, die ich im Laufe der letzten Jahre sah und/oder neu aufbaute würde ich es definitiv - ähnlich wie dein Subton es bemerkt - kritischer sehen.

Viele Grüße und schönen Samstag
Bitte warten ..
Neue Wissensbeiträge
Verschlüsselung & Zertifikate

Extended Validation Certificates are (Really, Really) Dead

Information von Dani vor 1 TagVerschlüsselung & Zertifikate

Moin all, sehr interessanter Artikel zu EV SSL/TLS- Zertifikate von Troy Hunt: Gruß, Dani

Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 3 TagenHumor (lol)8 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 4 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 4 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Heiß diskutierte Inhalte
Mac OS X
Mac Startfehler: Too many corpses created
Frage von winlinMac OS X24 Kommentare

Seit meinem letzten update komme ich nach der Anmeldung nixht mehr weiter. Der Fortschrittsbalken nach der Anmeldung geht bis ...

Server
Suche günstigen Server für erste Schritte mit Microsoft Windows Server 2016 + Exchange
gelöst Frage von vodaviServer19 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem preiswerten, aber guten Server. Mir geht es darum, dass ich ...

Schulung & Training
Was sollte man im Helpdesk bzw Service Desk 1st Level wissen
Frage von loubertSchulung & Training16 Kommentare

Hallo zusammen, ich fange demnächst in einem IT-Systemhaus meinen neuen Job im IT-Helpdesk (UHD), 1st Level (für externe Kunden,) ...

Windows XP
Zugriff auf WindowsXP-Freigabe nur per Eingabeaufforderung möglich
Frage von FA-jkaWindows XP11 Kommentare

Hallo, ich installiere gerade in einer VM WindowsXP; um dort eine "antike" Anwendung zu betreiben. Mit dieser werden historische ...