ARP poisoning

Les attaques de type ARP spoofing sont des attaques par lesquelles un attaquant se fait passer pour un routeur auprès d'un utilisateur et pour un utilisateur auprès du routeur en utilisant de faux paquets ARP. Cette technique permet ainsi d'intercepter le trafic entre deux machines.

Pour l'exploiter, il nous faut d'abord trouver des cibles sur le réseau, pour ceci on peut utiliser netdiscover par exemple.

Exemple d'utilisation:

$ netdiscover

Une fois nos cibles trouvées, il va nous falloir activer la redirection de port sur notre machine comme ceci.

$ echo 1 > /proc/sys/net/ipv4/ip_forward

On va ensuite utiliser l'outil arpspoof pour se faire passer pour le routeur auprès de l'utilisateur.

$ arpspoof -i eth0 -t <target IP> <IP routeur>

puis dans un autre terminal on va faire la même chose côté routeur.

$ arpspoof -i eth0 -t <IP routeur> <target IP>

Dans un troisième terminal, on va utiliser l'outil urlsnarf pour récupérer les urls des sites visités par la victime.

$ urlsnarf -i eth0

ressources:

• https://www.kali.org/tools/netdiscover/

• https://github.com/smikims/arpspoof

DNS spoofing

le DNS spoofing consiste simplement à se faire passer pour un serveur DNS après un ARP spoofing ou un DHCP spoofing réussi. Il est possible de faire cela simplement avec l'outil responder.

$ responder -I "eth0"

ressource: https://www.kali.org/tools/responder/

Mac Flooding

Les attaques de type Mac flooding ont pour but d'inonder un commutateur cible d'adresses mac aléatoires afin de remplir la table CAM de celui-ci. Cela a pour effet pour certains commutateurs de les faire crasher ou dans la plupart des cas simplement de les faire agir comme un hub (celui-ci commencera à envoyer les paquets par tous ses ports), ce qui permet à un attaquant de pouvoir sniffer les paquets qui passent par le commutateur.

Exemple d'exploitation:

$ macof -i eth0 -d <target IP>

ressource: https://github.com/WhiteWinterWolf/macof.py

DHCP starvation

Une attaque par famine DHCP est une attaque numérique malveillante qui cible les serveurs DHCP. Lors d'une attaque DHCP, un acteur hostile inonde un serveur DHCP de faux paquets DISCOVER jusqu'à ce que le serveur DHCP épuise son approvisionnement en adresses IP. Une fois que cela se produit, l'attaquant peut engendrer un DoS du réseau ou même fournir une nouvelle connexion DHCP menant à une attaque Man-in-the-Middle (MITM).

Yersinia

Yersinia est un framework permettant d'effectuer des attaques de couche 2. Il est conçu pour tirer parti de certaines faiblesses des différents protocoles réseau.

ressource: https://www.kali.org/tools/yersinia/

Dans le cadre d'une attaque de type DHCP Starvation, on l'utilisera comme ceci:

1. Lancer Yersinia en mode graphique (yersinia -G)

2. Selectionner l'interface dans "Edit interface"

3. Cliquer sur "Launch Attack" et aller dans la section "DHCP"

4. Lancer l'attaque

DHCP spoofing

Exploitation avec Ettercap:

1. Ouvrir le mode graphique d'Ettercap avec la commande Ettercap -G

2. Sélectionnez l'onglet "unified sniffing"

3. Dans "MiTM attack", sélectionnez "DHCP Spoofing attack"

4. Dans le pool IP, ajouter une plage d'adresses usurpées puis dans le champ du masque de sous-réseau, remplir le sous-réseau original, le sous réseau de l'attaquant et dans le champ Serveur DNS, remplir avec l'adresse IP de l'attaquant

5. Lancer l'attaque

LLMNR poisoning

LLMNR est un protocole qui permet la résolution de noms sans l'exigence d'un serveur DNS. Il est capable de fournir un nom d'hôte à IP basé sur un paquet de multidiffusion envoyé sur le réseau demandant à toutes les interfaces réseau à l'écoute de répondre si elles sont reconnues comme le nom d'hôte dans la requête. Pour ce faire, il envoie un paquet réseau au port UDP 5355 vers l'adresse réseau de multidiffusion. Il autorise les hôtes IPv4 et IPv6 et prend en charge tous les formats, types et classes DNS actuels et futurs. C'est le successeur de NBT-NS.

L'empoisonnement du protocole LLMNR se fait via l'outil responder et peut être mis en oeuvre de différentes manières.

1. Via le protocole SMB

2. Via le protocole WPAD

Pour ceci on utilise respectivement les commandes:

$ responder -I eth0

ou

$ responder -I eth0 -w

De cette manière, responder va capturer les hash NTLM des utilisateurs se connectant à un partage SMB ou se rendant sur une page web. Hash qu'il sera alors possible de casser ou de rejouer dans le cas ou il ne s'agirait pas de NTLMv2.

ressource: https://github.com/SpiderLabs/Responder

VoIP spoofing

Il est possible d'imiter un système VoIP afin de sauter d'un VLAN à un autre et de tester la sécurité de ceux-ci.

Il est possible de faire cette manipulation avec l'outil natif dans kali linux nommé VoIP Hopper.

VoIP Hopper

VoIP Hopper peut imiter le comportement des téléphones IP pour mieux comprendre les risques commerciaux au sein d'une infrastructure de réseau de téléphonie IP.

Exemple d'utilisation:

$ voiphopper -i eth0 -E '<device ID>' -c 2

Si l'attaque fonctionne, le VLAN assigne une IPv4 à la machine de l'attaquant.

Hole punching attack

Miranda

Miranda est une application client Universal Plug-N-Play basée sur python conçue pour interagir avec les périphériques UPnP, en particulier les périphériques de passerelle Internet type routeurs. Il peut être utilisé pour auditer les périphériques compatibles UPnP sur un réseau afin de détecter d'éventuelles vulnérabilités.