Skip to content

Audits de sécurité

Par Nicolas Dewaele
Ingénieur systèmes et sécurité
adminrezo.fr

Document sous licence CC BY-SA

Introduction

  • Qu'est-ce qu'un hacker ?
  • Quels sont les risques d'aujourd'hui ?
  • Qu'est-ce qu'un pentest en boite noire ou blanche ?

Démarche d'un audit

  1. Reconnaissance passive
  2. Reconnaissance active
  3. Elévation de privilèges
  4. Attaques réseau
  5. Attaques systèmes
  6. Attaques web
  7. Les frameworks d'exploitation
  8. Le rapport d'audit

Reconnaissance passive

Prise d'informations sur une entité sans laisser de traces.

Whois

  • Date d'expiration du domaine
  • Permet de racheter le domaine
  • créer des mails pour redemander les mdp
  • Téléphone : Social engineering
  • Mail : Un mail est presque toujours un login AD

On peut aussi chercher en ligne sur le site du registrar.

Le Whois peut être masqué par le registrar.

DNS

DNS : Brute force

Tester les sous-domaines d'un domaine DNS. * Fierce tente un transfert de zone, puis brute force.

fierce -dns LEDOMAINE.COM
  • Il trouve aussi les wildcard DNS

Voir les seclists

DNS : Transfert de zone

Le transfert de zone est actif, pas passif !

  • AXFR fonctionne uniquement sur TCP/53
dig axfr @SERVEURDNS LEDOMAINE.COM
dig axfr @pulsar.univ-valenciennes.fr univ-valenciennes.fr
  • A tester aussi en interne

DNS : Enregistrements intéressants

  • Les noms en test
  • Les noms privés qui apparaissent publiquement
  • Les noms qui résolvent vers des IP privées

DNS : Robtex

https://www.robtex.com/dns-lookup/esiee.fr

Moteurs de recherche

Moteurs : The Harvester

https://github.com/laramies/theHarvester

Moteurs : Google et dorks

Google :

- (not), "" (obligatoire)
site:, domain: (nom dns)
filetype:.sql, .log, .txt, .ini, .pdf, .doc, .zip, (php | txt | html | asp | xml | cnf | sh) 
intext: (grep)
site:pastebin.com intext:esiee
LENOM "+33" 

Opérateurs Google

Voir Google Dorks sur Exploit Database

Moteurs : Autres

  • Github : https://github.com/search?type=Commits&q=removed+password&utf8=%E2%9C%93
  • Bing : ip:
  • Wayback Machine : Pour retrouver des vieux documents - http://web.archive.org/
  • https://code.google.com/archive/p/findmyhash/
  • https://www.shodan.io/
  • https://censys.io/data
  • https://worldofvnc.net/browse.php

Moteurs : Recherche de personnes

  • Réseaux sociaux, linkedin, viadeo, ...
  • Blogs persos

Reconnaissance active

Scan de ports

Scan de ports : TCP

Flags TCP : psh, urg, syn, ack, fin, rst (refus de connexion).

Syn Scan = Stealth scan (-sS) : * Port ouvert : A > SYN > B ; B > SYN/ACK > A ; A > RST > B * Pas de log côté serveur car session non établie * Peut-être repéré par les sondes * Port fermé : A > SYN > B ; B > RST > A * Protection : équipement qui répond Syn/Ack pour toutes les requêtes

Ack scan -sA, Null scan -sN, XMass scan -sX * établissent la liste des ports fermés, détectent les pare-feu.

Scan de ports : UDP

Scan UDP -sU : * Envoi d'une charge utile (DNS sur port 53, SNMP, ...). * Si le port est fermé, le serveur envoie une réponse ICMP * Cette réponse est souvent filtrée. * Si pas de réponse, on ne sait pas si le port est ouvert ou fermé. * Très long, cibler certains ports

Scan Zombie

Scan zombie (-sI) (dans un LAN) : * Utilise l'ID de l'en-tête IP. * L'ID est incrémenté toujours du même incrément quel que soit l'émetteur. * A envoie régulièrement des paquets à Z pour connaître l'incrément. * A interroge B en se faisant passer pour Z. * B répond à Z avec un ID incrémenté * A voit que l'ID a augmenté. * Peu de chance que ça marche

nmap -Pn -sI ZOMBIE CIBLE

Plus loin avec NMAP

Reconnaissance Web

Réponses HTTP

HTTP return codes cheat sheet * 1xx: Hold on * 2xx: Here you go * 3xx: Go away * 4xx: You fucked up * 5xx: I fucked up

A la main

Prise d'info à la main : * robots.txt : Regarder les URI en disallow.

Scanners Web

  • Brute force (DirBuster, wfuzz)
  • Scanner Web : Nessus génère des faux positifs, Nikto (bdd non maintenue), Vega, Arachni, skipfish, Acunetix (payant, bruyant, ne pas utiliser en prod).
  • Liés aux CMS : WPScan, Joomscan, Droopscan

... To be continued ...

Elévation de privilèges

Attaques réseau

Attaques systèmes

Attaques web

Les frameworks d'exploitation

Le rapport d'audit