Diciamo che sei entrato in una rete dopo aver sfruttato qualcosa, e stai cercando di infiltrarti ulteriormente nella rete. Quando teorizzavo nella mia testa ho capito che gli ip locali possono cambiare se stessi. Quindi fare un ping sweep della sottorete del tuo ip potrebbe potenzialmente perdere bersagli se stessero usando diversi IP?
Dopo questa realizzazione, come scopri questi host? Tutto quello che posso pensare è sniffare per trovare host, oltre a quello che altro puoi fare?
Questa è una domanda enorme, ma metterò alcune cose nel modo in cui vorrei avvicinarmi alla ricerca di altri obiettivi su cui pivottare.
1.) guarda il layer 2 arp -a non invia pacchetti al wire e ti aiuta a individuare altri host a cui sta parlando anche il sistema a cui hai accesso.
2.) guarda il layer 3/4 lsof -i (o è equivalente) mostrerà connessioni stabilite che ti permetteranno di vedere gli IP e alcuni protocolli che questo computer sta comunicando con gli altri. Ancora una volta questo non invia pacchetti sulla rete.
3.) Controllare la memoria montata, gli script locali, le configurazioni di backup, il software DLP o le password che possono essere configurate per fornire informazioni o eventualmente accedere anche ad altri server. Ancora una volta questo non invia pacchetti sulla rete e i dispositivi di archiviazione potrebbero avere reti condivise con altri host (probabilmente oltre lo scopo della tua domanda).
4.) A questo punto, verifica di non essere su HoneyPot prima di procedere.
5.) Opzionalmente a questo punto puoi guardare l'acquisizione di pacchetti, ma questo può essere rilevato ma il 99,9% delle organizzazioni non sta cercando questo, quindi è generalmente sicuro farlo. Ciò ti aiuterà a trovare altri host sulla rete che trasmettono le loro informazioni e, a seconda del tipo di rete, potrebbe consentirti di accedere a molti altri tipi di traffico nelle vicinanze.
6.) Determinare il DNS interno e, se possibile, eseguire la scansione del DNS interno per altri host. Il traffico DNS è considerato abbastanza normale. Fatelo lentamente se siete in un ambiente ad alta sicurezza.
7.) A questo punto suggerirei di sfruttare i sistemi connessi usando i protocolli di connessione. Volete uscire sui protocolli su cui normalmente si parla normalmente (DLP, NMS, Backup sono i più comuni ma sono disponibili anche database di frequente). Si tratta di connessioni in uscita che potrebbero non sembrare strane dal punto di vista delle comunicazioni netflow. Se riesci a ruotare in-band, è molto più furtivo della scansione.
8.) Passaggio successivo che si collega agli host che si collegano a quello in cui ci si trova. Questo è simile al passo precedente ma, dal punto di vista del flusso di rete, alcuni sistemi avviano sempre le connessioni ai punti finali, in questo caso è probabile che un endpoint si ricolleghi e che possa o meno essere scoperto.
9.) Se ciò non ha funzionato, si avvia la scansione. Rallenta le tue scansioni al di sotto della soglia di temporizzazione IDS più comune per le scansioni o fallo manualmente all'inizio. Mira ai protocolli che puoi sfruttare e dare la priorità ai protocolli più comuni che un determinato client avrebbe. Andare piano rimanere sotto il radar. Lo strumento di scansione nmap di nmap.org ha un'opzione --top-ports se non sai da dove iniziare. Direi di iniziare con le prime 10-20 porte in un primo momento, a meno che tu non abbia fretta.
10.) Se non hai ancora fortuna ora inizi a scansioni più profonde e mappa l'intero ambiente.
11.) Ancora problemi con il salto di VLANS
Ottimo video in uso su uno switch Cisco.
12.) Verificare la presenza di wireless, se il dispositivo in uso dispone di accesso wireless (provare ad accenderlo a un certo punto se non è acceso) eseguire la scansione della rete wireless per altri target. Non dimenticare Bluetooth o altri protocolli che potrebbero essere sul tipo di host a cui hai accesso.
13.) Ancora senza fortuna. Controlla se sei su una macchina virtuale, identifica quale e cerca i modi per effettuare il jailbreak della VM nell'Hypervisor e attaccare da lì.
NOTA: controlla sempre le connessioni IPv6 ed esplora le connessioni di archiviazione in profondità. C'è anche molto lavoro da fare sull'host locale come prendere le chiavi e le password, se puoi, ma la tua domanda era più focalizzata sulla ricerca di obiettivi, quindi la escluderei dall'ambito di applicazione.
Questo è un argomento GRANDE con molte altre cose che potresti fare, ma quello che è elencato sopra è una strategia molto efficace per mappare gli host vicini nella situazione che hai chiesto.
Leggi altre domande sui tag network-scanners