gelöst Servername aus zugreifbaren Diensten auslesen

Mitglied: certifiedit.net

certifiedit.net (Level 5) - Jetzt verbinden

13.10.2019, aktualisiert 10:30 Uhr, 3505 Aufrufe, 21 Kommentare

Guten Morgen,

folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a). Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen). Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,

Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?

Viele Grüße und danke,

Christian

PS: Per Telnet lassen sich die Ports adressieren, also offensichtlich keine Firewall dazwischen.
Mitglied: cykes
13.10.2019 um 11:30 Uhr
Moin,


Zitat von certifiedit.net:
folgende Überlegung: Ich habe einen (bisher) nicht identifizierbaren Server (IP liegt vor) mit den Diensten RPC; Netbios, SMB/CIFS, RDP und eine MS HTTPAPI auf 5357 (ggf. u.a).
Port 5357 spricht für das WSD-Protokoll (Web Services for Devices), sofern es nicht von irgendwelcher Malware ausgeht.
Nun könnte ich natürlich Handstände machen und schauen, wo dieses System herkommt (tracert führt mich zu nix plausiblen).
Was genau heißt denn "zu nix plausiblen"? Ich würde zunächst mal in der RIPE-Datenbank einen IP-WHOIS starten -> https://apps.db.ripe.net/db-web-ui/#/query - der sollte Dir erstmal eine Eingrenzung in Bezug auf den "Besitzer" der IP geben, also damit der Provider/Hoster/etc. herausfindbar sein.
Meine Idee wäre aber, erstmal zu hinterfragen, wie der oder diejenige, die das Ding ins Netz gestellt hat das Kind nannte, ob es ein altes Domainrelikt ist usw, um dem Problem ggf. darüber näher zu kommen,
Gibt es denn Antworten, wenn Du Dich nicht per Telnet auf den o.g. Ports verbindest, sondern RDP, SMB usw. verwendest?
Gibt es vielleicht noch irgendeinen SSL/HTTPS-Dienst/Server, der auf der IP Antwortet, dann könntest Du das Zertifikat ggf. auslesen.
Meine Frage wäre also, gibt es eine Möglichkeit ohne die Credentials zu kennen (liegen natürlich nicht vor...) aus den Diensten zumindest eine Art whoareyou herauskitzeln zu können?
Wenn die Dienste beim Telnet-Zugriff nicht mit ihrem Hostnamen antworten, wird das eher schwierig.

Gruß

cykes
Bitte warten ..
Mitglied: 141320
13.10.2019, aktualisiert um 12:24 Uhr
  • Geh an deinen Switch und lese die ARP Tabelle aus, Dann gehe an den Port an dem die MAC-Adresse registriert ist, dann dem Kabel entlang und fertig .
zumindest eine Art whoareyou herauskitzeln zu können?
  • Wenn SMB/Netbios aktiv ist:
Bitte warten ..
Mitglied: stefaan
13.10.2019, aktualisiert um 12:19 Uhr
Servus,

vielleicht nmap (MAC Vendor, OS detection).
Damit kann man eventuell die Hardware benennen.
Vielleicht eine (unbekannte/vergessene) VM?

Grüße, Stefan
Bitte warten ..
Mitglied: lcer00
13.10.2019 um 13:21 Uhr
Hallo,

hast Du mal ein RDP auf den Host probiert? Vielleicht spuckt er ein Zertifikat aus?

Ansonsten - unbekannte Hosts im LAN sucht man über MAC & Switchports.

Grüße

lcer
Bitte warten ..
Mitglied: certifiedit.net
13.10.2019, aktualisiert um 15:47 Uhr
Moin,

Also HTTPS bzw SSL kommt nichts.

Rdp ist immer so, dass das Zertifikat erst nach einem Zertifikatslosen TLS Handshake basiertem auth zur Verifizierung übermittelt wird. Wenn jemand einen kniff weiss, dies zu umgehen, bitte.

Telnet gibt, wie gesagt, nichts zurück. Auf die switche dazwischen hab ich bisher keinen Zugriff um die Kabel nach zu verfolgen.

Ich sehe nur die regelmäßigen Zugriffe, die also noch von vermutlich Anno xy konfiguriert sind und die durch mich bewarteten Systeme zwar nicht direkt bedrohen, aber jedes rauschen ist besser zu eliminieren, bevor was passiert.

Kennt sich jemand ggf noch auf der cmd genügend aus, um an die entsprechenden Dienste Anfrage a la hello world, melde dich zu schicken, die zumindest die OS Version eingrenzt?

Danke.
Bitte warten ..
Mitglied: brammer
13.10.2019 um 16:27 Uhr
Hallo,

Versuche es einfach mal mit netscan. Die IP kennst du. In den Optionen kannst du die Mac Adresse und alle möglichen Infos abfragen... wenn er den antwortet...

Brammer
Bitte warten ..
Mitglied: certifiedit.net
13.10.2019 um 16:29 Uhr
Die oben genannten Informationen sind alle, die ich dadurch auf den ersten Blick zusammen tragen kann. Wenn muss ich über diese Ports Auskunft erfragen. Sehe ansonsten derzeit keinen Weg.
Bitte warten ..
Mitglied: 107235
13.10.2019 um 16:53 Uhr
Wenn er irgendwie Lokal ist, dass man die ARP Tables der Switches angucken kann, dann würde ich so auch suchen. Bisher immer erfolgreich.

Ansonsten könnte man mit NMAP ggf etwas mehr über den Host rausfinden.
Bitte warten ..
Mitglied: cykes
13.10.2019 um 16:53 Uhr
Zitat von certifiedit.net:
Ich sehe nur die regelmäßigen Zugriffe, die also noch von vermutlich Anno xy konfiguriert sind und die durch mich bewarteten Systeme zwar nicht direkt bedrohen, aber jedes rauschen ist besser zu eliminieren, bevor was passiert.
Sind die Zugriffe denn erolgreich bzw. siehst Du auf was die Maschine zugreifen will? Vielleicht ist das auch nur ein Client, der irgendwo in der Firma schon immer stand und nur sporadisch benutzt wird.
Kennt sich jemand ggf noch auf der cmd genügend aus, um an die entsprechenden Dienste Anfrage a la hello world, melde dich zu schicken, die zumindest die OS Version eingrenzt?
nc6400 hatte Dir ja oben bereits nbtstat vorgeschlagen, um den NetBIOS-Verkehr genauzer zu untersuchen. Konntest Du damit nicht mehr herausfinden?
Kannst Du die IP des unbekannten Servers anpingen direkt gefolgt von einem "arp -a", um zumindest eine MAC-Adresse herauszubekommen?
Falls Du eine Linuxmaschine mit Samba im Kundennetz zur Verfügung hast, kannst Du es auch mal mit "mbmlookup -A <IP>" probieren, um den NetBIOS-Namen zu der IP herauszufinden.
Bitte warten ..
Mitglied: cobanm
13.10.2019, aktualisiert um 19:45 Uhr
openssl installieren und auf dem RDP Dienst das Zertifikat auslesen

Das selfsigned Zertifikat ist auf den Computernamen ausgestellt
Bitte warten ..
Mitglied: em-pie
13.10.2019, aktualisiert um 18:45 Uhr
Moin,

hast du mal geschaut, ob du via Advanced LAN-Scanner bzw. Advanced Port-Scanner etwas heruasfinden kannst.

Wenn man einend er beiden tools gezielt auf die IP-Adresse ansetzt und mit den Standard-Ports belässt, könnte das erkenntnisse bringen.

Funktioniert zumindest, wenn ich in der vergangenheit (Unix)-Systeme vorfand, die zwar selbst einen Namen hatten, sich aber nicht am DNS registrierten bzw. dort auch keinen statischen EIntrag enthielten...

Mit dem PS-Befehl Get-SmbConnection -ServerName kommt man leider nur via DNS-Namen weiter.
Aber was du versuchen kannst: an deinem DNS-Server mal einen statischen A-Record hinterlegen und dann die PowerShell losschicken

Gruß
em-pie
Bitte warten ..
Mitglied: certifiedit.net
13.10.2019 um 20:16 Uhr
Ich werde wahnsinnig. Also Befehl klappt mit unterschiedlichen Servern ab 2012r2. Mit dem betreffenden aber nicht. Also vermutlich älter als 2008.

@em-pie, danke für den Hinweis, dass das Tool nur mit DNS klar kommt hab ich heute morgen schon gehabt. Ich prüf Mal, ob es damit klar kommt. Aber sehr mysteriös
Bitte warten ..
Mitglied: cykes
13.10.2019 um 20:32 Uhr
Hast Du vielleicht Zugriff auf eine zentrale Verwaltung der AV-Software, vielleicht kannst Du darüber mehr Informationen über das System/die IP herausfinden?
Bitte warten ..
Mitglied: certifiedit.net
14.10.2019 um 00:18 Uhr
Zitat von cykes:

Hast Du vielleicht Zugriff auf eine zentrale Verwaltung der AV-Software, vielleicht kannst Du darüber mehr Informationen über das System/die IP herausfinden?

Wenn es so einfach wäre, nein.
Bitte warten ..
Mitglied: rzlbrnft
14.10.2019 um 09:14 Uhr
Ich würd mir ne Kali Linux in einer VM installieren und dann mal die üblichen Haxx0r Artikel durchgehen.
https://www.hackingarticles.in/a-little-guide-to-smb-enumeration/
Bitte warten ..
Mitglied: DerWoWusste
14.10.2019 um 14:24 Uhr
Wenn NLA nicht aktiviert ist, kannst Du dich doch zur RDP-Anmeldemaske verbinden und dort den Rechnernamen auslesen, ohne dich dafür anmelden zu müssen.
Bitte warten ..
Mitglied: certifiedit.net
14.10.2019 um 14:26 Uhr
Zitat von DerWoWusste:

Wenn NLA nicht aktiviert ist, kannst Du dich doch zur RDP-Anmeldemaske verbinden und dort den Rechnernamen auslesen, ohne dich dafür anmelden zu müssen.

Probiert, nein, tut er nicht. Wie bereits geschrieben, das ist sehr mysteriös und ich bekomme hierüber auch nur "" als Feedback von dem System. Ich denke, ich werd es jetzt einfach per Firewall blockieren und dann schauen, wenn jemand aufschreit. Bei der nächsten größeren Revision kommt es dann vermutlich auf, ganz frei nach "man findet die Dinge immer dann, wenn man sie nicht mehr sucht". Wie gesagt, ist auch nicht kritisch, mich verwundert es nur...
Bitte warten ..
Mitglied: DerWoWusste
14.10.2019 um 14:31 Uhr
Was hattest Du zu RDP beschrieben? Ich lese nur von den Zertifikaten.
Du kommst nicht zur Anmeldemaske?
Bitte warten ..
Mitglied: certifiedit.net
16.11.2019 um 14:08 Uhr
So, also ein paar Tests mit "normalen" Systemen haben entsprechend erwartbare Resultate gebracht, dieses eine System scheint aber bereits mehr schlecht als Recht zu existieren und dementsprechend quasi tot zu sein. Wir prüfen das nun bei der nächsten Revision der kompletten Infrastruktur/Switches und gut wird es (hoffentlich sein.)

Dennoch danke für die alle Tipps und Beiträge.
Bitte warten ..
Mitglied: lcer00
16.11.2019 um 15:52 Uhr
Hallo,

und Du machst Dir da keine Sorgen, dass da ein System aktiv ist, dass Du a) nicht identifizieren kannst und das b) sich nicht so verhält wie Du es erwartest?

Grüße

lcer
Bitte warten ..
Mitglied: certifiedit.net
16.11.2019 um 16:14 Uhr
Hi Icer,

wie oben bereits hergeleitet mache ich mir aus obig niedergelegtem Grund eher Gedanken, Sorgen nicht, da die Netze wie in fast allen (Kunden)installationen mittlerweile sehr granular getrennt sind. Bei div. anderen Netzen, die ich im Laufe der letzten Jahre sah und/oder neu aufbaute würde ich es definitiv - ähnlich wie dein Subton es bemerkt - kritischer sehen.

Viele Grüße und schönen Samstag
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wie geht ihr mit grantigen "Kunden" um?
AbstrackterSystemimperatorErfahrungsberichtOff Topic24 Kommentare

Moin Kollegen, mal eine Offtopic Frage in die Runde gestellt. Wie geht ihr mit grantigen "Kunden" (interne IT) / ...

Windows Server
Druckserver Domäne GPO
arik12FrageWindows Server22 Kommentare

Hallo zusammen, Ich möchte einen Druckserver einrichten und Drucker auf dem Druckserver installieren. Die Drucker sollen dann per GPO ...

Netzwerke
Sicherheitsbetrachtung virtualisierte Umgebung
gelöst Philipp711FrageNetzwerke22 Kommentare

Hallo liebe Community, ich habe eine kleine Frage bzgl. der Netzwerksicherheit in virtualisierten Umgebungen. Beispiel: Ich habe einen Hypervisor ...

Exchange Server
Exchg2016: ECP-Anzeigefehler oder echtes Problem?
winackerFrageExchange Server13 Kommentare

Hallo, mein Exchg16 (auf SRV16) hat ein Phäomen was bislang keiner aufklären kann - und ich weiß nicht ob ...

Off Topic
Adventskalender 2020
LochkartenstanzerInformationOff Topic12 Kommentare

Was haltet ihr von einer Sammlung von Adventskalendern? (Hier im Thread z.B.) Ich fang mal mit dem Heise-Kalender an: ...

Server-Hardware
Hp Proliant ml350 g5 kommt nicht zum POST
jetstream3000FrageServer-Hardware12 Kommentare

Hallo Forum So hab mir einen Hp Server zum herumprobieren gekauft hat auch alles funktioniert hat zwei Intel Xeon ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud